Monitör hangi DNS kayıtlarını izler?

Varsayılan olarak A, AAAA, MX, NS, TXT ve CNAME. Monitör, her kontrolde çözümlenen değerlerin bir anlık görüntüsünü alır ve herhangi biri değişirse – eklenirse, silinirse, değiştirilirse – uyarı gönderir.

Neden DNS izlemeliyim – DNS sağlayıcım zaten güvenilir değil mi?

Güvenilirlik sorun değil – değişikliktir asıl mesele. DNS ele geçirmeleri, taşıma sırasındaki yanlışlıkla yapılan güncellemeler, dış CDN'ler IP döndürmeleri, kayıt firması hesaplarına yetkisiz erişimler – hepsi kayıt değişikliği olarak kendini gösterir. DNS izleme bunu günler yerine dakikalar içinde yakalar.

Monitör TTL önbelleklemesiyle nasıl başa çıkıyor?

Sorgular yetkili isim sunucularına (yerel çözümleyicinize değil) yapılır, bu nedenle TTL önbellekleme değişiklikleri gizlemez. Her kontrol taze, yetkili bir sorgudur – kaynağındaki kayıt değiştiyse monitör bunu, bir sonraki kontrolde görür.

DNSSEC doğrulama durumunu izleyebilir miyim?

Evet. Monitör, her kontrolde DNSSEC durumunu (imzalı/imzasız) kaydeder ve değişiklikte uyarı verir. Dün DNSSEC imzalı olan bugün imzasız raporluyorsa acil araştırılması gereken bir güvenlik olayıdır.

DNS yük dengeleme nedeniyle yanlış alarmlar alır mıyım?

A kaydınız birden çok dönen IP döndürüyorsa monitör her kontrolde "değişiklik" görür. Bunu önlemek için olası tüm IP’leri kapsayacak şekilde expected-values tanımlayın veya bu alan adı için A kaydı izlemesini kapatın ve sadece HTTP kontrolü ile erişilebilirliğe güvenin.

DNS izleme — Kayıt Değişikliklerini ve Ele Geçirmeleri Tespit Edin

Bilginiz dışında değişen DNS kayıtları ya yanlış yapılandırmadır ya da ele geçirilmiştir. İkisi de kötüdür. Onları izleyin.

DNS temeldir - ve bozması en kolay konudur

DNS her şeyin altında yer alır: her web isteği, her e-posta, her API çağrısı, DNS sorgulamasıyla başlar. Bu durum, DNS kayıtlarında sessiz değişiklikleri en sık kullanılan saldırı yöntemlerinden biri ve ekibin dikkatsiz bir üyesinin yapabileceği en kolay hatalardan biri haline getirir. DNS değişikliği, alan adınızı sitenizin oltalama kopyasına yönlendirebilir, postanızı saldırganın sunucusuna yönlendirebilir, arama sonuçlarından çıkmanıza veya basit bir yazım hatasıyla tüm teknolojik yığınınızın bozulmasına neden olabilir. Çoğu zaman DNS'deki bir hata kötü niyetli bile değildir; rutin bir operasyon değişimidir, birisi kimseye haber vermeden yapar ve aşağı hattı bozar.

DNS izleme, kayıtlarınızın her kontrolde anlık görüntüsünü alarak bu değişiklikleri yakalar ve bunları öncekilerle karşılaştırır. İzlenen herhangi bir şey eklenmiş veya silinmişse hemen bir uyarı alırsınız. Planladığınız bir güncelleme, habersiz yapılan bir yapılandırma hatası veya gerçek bir ele geçirme olsun – birkaç saat içinde haberdar olursunuz.

Hangi kayıtlar izleniyor

Her HTTP tipi monitör için günlük kapsamlı kontrol şu kayıt türlerini alır:

A ve AAAA: hostname'in çözüldüğü IPv4 ve IPv6 adresleri. Değişiklik – trafik başka yere gider, bilerek ya da birileri alan adı kayıt firmanızı ele geçirdiği için.
MX: e-posta değişicileri. Yeni bir MX kaydı (veya daha kötüsü, eksik bir kayıt) postanızın farklı şekilde yönlendirilmeye başladığı anlamına gelir. Sessizce kaybolan e-postalar bir işletme için en kötü senaryolardan biridir.
NS: isim sunucuları. Değişiklik – biri DNS bölgenizi başka bir sağlayıcıya taşıdı – bir alan adına yapılabilecek en büyük değişiklik. NS değişiklikleri neredeyse her zaman ya planlı bir göç ya da başarılı bir kayıt operatörü saldırısıdır.
TXT: çeşitli metin kayıtları, genellikle alan adı doğrulaması (Google, Microsoft, Stripe vb.) veya SPF/DKIM/DMARC için kullanılır.
SPF, DMARC, CAA: e-posta güvenliği ve sertifika yetkisinin atanması için özel kayıtlar. Özellikle CAA'daki bir değişiklik bir saldırganın alan adınız için TLS sertifikası çıkartmasını sağlayabilir.

Kontrol panelinde, monitörün detaylı görünümünde mevcut tüm kayıtlar gösterilir; böylece anında hangi kayıtların yayında olduğunu görebilirsiniz.

Değişikliklerin tespiti

Monitör, A, AAAA, MX ve NS kayıtlarının bir anlık görüntüsünü her monitör için saklar. Her kapsamlı kontrolde, mevcut kayıtlar bu anlık görüntüyle karşılaştırılır. Silinen kayıtlar "silindi", yeniler ise "eklendi" olarak işaretlenir. Her iki liste de değişiklik raporuna eklenir.

İzlenen kayıtlarda herhangi bir değişiklik olursa, etkinleştirilen kanallara anında bir uyarı gönderilir. Bildirimde hangi kayıt türünün değiştiği ve tam olarak neyin eklendiği ve neyin silindiği belirtilir. "DNS example.com için değişti" yerine "MX example.com için: mail.oldhost.com silindi, mail-1.attacker.com eklendi" mesajı alırsınız – durum hemen ve net olur.

Planlı bir taşımanın çok fazla uyarı yaratması halinde sadece DNS değişiklik uyarılarını diğerlerinden bağımsız olarak kapatabilirsiniz. Kapatın, taşıma işlemini yapın, sistem oturduktan sonra tekrar açın.

Neden bu yöntem, diğer araçların gözden kaçırdığı sorunları yakalar?

Çoğu uptime (çalışırlık) aracı DNS’i kurulum gibi görür – URL’yi çözer ve unutur. Ancak rakibiniz (ya da bir saldırgan ya da Cuma günkü deploy gremlini) DNS’inizi değiştirdiği anda, bu çözümleme başka bir IP’ye yönlenir ve sadece-HTTP monitörü hâlâ yeşil rapor veriyor olur; çünkü yeni IP de 200 döndürür. DNS seviyesinde izleme olmadan değişiklik, biri elle kontrol edene kadar görünmez. O zaman ise günlerce mail kaybolmuş veya haftalarca arama sıralaması uçup gitmiş olabilir.

DNS izleme, DNS sağlayıcı kaynaklı sorunları da yakalar. Bazı sağlayıcılar zaman zaman zone güncellemelerinde kayıtları kaybeder veya karıştırır; bazıları ise bölgesel kesintiler yaşar ve bir lokasyondan gelen sorgu başka, başka bir lokasyondan gelen başka yanıt döner. Anlık görüntüleri karşılaştırmak bu düzensizlikleri ortaya çıkarır.

Yapılandırma

DNS izleme, her HTTP/anahtar kelime/API monitörü için otomatik olarak etkindir. İlk kapsamlı kontrol (monitör eklenmesinden itibaren 24 saat içinde) temel bir anlık görüntü kaydeder – ilk seferde uyarı gönderilmez, yalnızca sonraki kontrollerde farklılık olduğunda uyarılır. DNS değişikliği uyarılarını açmak veya kapatmak için Bildirimler bölümündeki Tercihler kısmından "DNS değişikliklerini bildir" seçeneğini kullanın. Her monitörün detaylı görünümünde, değişiklik yakalanmayan ancak periyodik inceleme için faydalı olan SPF, DMARC ve CAA kayıtları da dahil olmak üzere mevcut tüm DNS durumu gösterilir.

Sıkça Sorulan Sorular

Monitör hangi DNS kayıtlarını izler?
Varsayılan olarak A, AAAA, MX, NS, TXT ve CNAME. Monitör, her kontrolde çözümlenen değerlerin bir anlık görüntüsünü alır ve herhangi biri değişirse – eklenirse, silinirse, değiştirilirse – uyarı gönderir.
Neden DNS izlemeliyim – DNS sağlayıcım zaten güvenilir değil mi?
Güvenilirlik sorun değil – değişikliktir asıl mesele. DNS ele geçirmeleri, taşıma sırasındaki yanlışlıkla yapılan güncellemeler, dış CDN'ler IP döndürmeleri, kayıt firması hesaplarına yetkisiz erişimler – hepsi kayıt değişikliği olarak kendini gösterir. DNS izleme bunu günler yerine dakikalar içinde yakalar.
Monitör TTL önbelleklemesiyle nasıl başa çıkıyor?
Sorgular yetkili isim sunucularına (yerel çözümleyicinize değil) yapılır, bu nedenle TTL önbellekleme değişiklikleri gizlemez. Her kontrol taze, yetkili bir sorgudur – kaynağındaki kayıt değiştiyse monitör bunu, bir sonraki kontrolde görür.
DNSSEC doğrulama durumunu izleyebilir miyim?
Evet. Monitör, her kontrolde DNSSEC durumunu (imzalı/imzasız) kaydeder ve değişiklikte uyarı verir. Dün DNSSEC imzalı olan bugün imzasız raporluyorsa acil araştırılması gereken bir güvenlik olayıdır.
DNS yük dengeleme nedeniyle yanlış alarmlar alır mıyım?
A kaydınız birden çok dönen IP döndürüyorsa monitör her kontrolde "değişiklik" görür. Bunu önlemek için olası tüm IP’leri kapsayacak şekilde expected-values tanımlayın veya bu alan adı için A kaydı izlemesini kapatın ve sadece HTTP kontrolü ile erişilebilirliğe güvenin.

DNS izleme