Những bản ghi DNS nào được monitor theo dõi?

Theo mặc định là A, AAAA, MX, NS, TXT và CNAME. Monitor sẽ chụp snapshot các giá trị đã phân giải sau mỗi lần kiểm tra và gửi cảnh báo khi có giá trị thay đổi — được thêm, xóa hoặc sửa đổi.

Tại sao cần giám sát DNS — nhà cung cấp DNS của tôi chẳng phải rất đáng tin sao?

Vấn đề không phải là độ tin cậy — mà là thay đổi. DNS bị chiếm quyền, cập nhật nhầm khi di chuyển, CDN ngoại quay vòng IP, hay tài khoản nhà đăng ký bị xâm nhập — tất cả đều là thay đổi bản ghi. Giám sát DNS phát hiện được trong vòng vài phút thay vì nhiều ngày.

Monitor xử lý caching TTL như thế nào?

Việc phân giải luôn hỏi trực tiếp nameserver có thẩm quyền (không phải resolver cục bộ của bạn), do vậy giới hạn TTL không làm ẩn thay đổi. Mỗi lần kiểm tra đều là truy vấn mới tới nguồn - nếu bản ghi tại nguồn thay đổi, monitor sẽ phát hiện ở lần kiểm tra tiếp theo.

Tôi có thể giám sát trạng thái xác thực DNSSEC không?

Có. Monitor ghi lại trạng thái DNSSEC (đã ký/chưa ký) mỗi lần kiểm tra và cảnh báo khi có thay đổi. Một tên miền hôm qua còn DNSSEC-signed mà hôm nay chuyển sang không được ký là một sự cố bảo mật cần điều tra ngay lập tức.

Tôi có nhận cảnh báo giả từ DNS load balancing không?

Nếu bản ghi A của bạn trả về nhiều IP thay đổi luân phiên, monitor sẽ thấy "thay đổi" ở mỗi lần kiểm tra. Để lọc bớt, hãy cấu hình expected-values để bao gồm tất cả IP có thể có, hoặc tắt giám sát bản ghi A trên domain đó và chỉ dựa vào kiểm tra HTTP cho tính sẵn sàng.

Giám sát DNS — Phát hiện thay đổi bản ghi & tấn công chiếm quyền điều khiển

Các bản ghi DNS thay đổi mà bạn không biết là do cấu hình sai hoặc bị chiếm quyền điều khiển. Cả hai đều nghiêm trọng. Hãy giám sát chúng.

DNS là nền tảng - và là thứ dễ bị phá hỏng nhất

DNS là lớp cơ bản dưới mọi thứ khác: mỗi yêu cầu web, mỗi email, mỗi lần gọi API đều bắt đầu bằng truy vấn DNS. Điều này khiến việc thay đổi các bản ghi DNS một cách lặng lẽ trở thành một trong những kiểu tấn công phổ biến nhất - và đồng thời là lỗi dễ mắc nhất mà một thành viên bất cẩn trong nhóm có thể phạm phải. Việc thay đổi DNS có thể chuyển hướng tên miền của bạn đến một bản sao lừa đảo trang web của bạn, chuyển mail qua máy chủ của kẻ tấn công, làm bạn biến mất khỏi kết quả tìm kiếm hoặc phá vỡ toàn bộ hệ thống chỉ vì một lỗi chính tả. Phần lớn thời gian các sự cố về DNS không phải là do mục đích xấu; thường chỉ là một thay đổi thao tác thông thường mà ai đó thực hiện mà không thông báo cho ai, dẫn đến sự cố ở hệ thống phía sau.

Giám sát DNS phát hiện những thay đổi này bằng cách chụp nhanh các bản ghi của bạn mỗi lần kiểm tra và so sánh với bản lưu trước đó. Nếu bất kỳ giá trị được theo dõi nào được thêm hoặc xóa kể từ lần kiểm tra trước, bạn sẽ nhận được cảnh báo. Dù thay đổi đó là có kế hoạch mà bạn quên thông báo, lỗi cấu hình, hay bị chiếm đoạt thực sự - bạn sẽ biết trong vòng vài giờ.

Các loại bản ghi nào được giám sát

Đối với mỗi monitor dạng HTTP, kiểm tra sâu hàng ngày sẽ lấy các loại bản ghi sau:

A và AAAA: địa chỉ IPv4 và IPv6 mà hostname trỏ tới. Nếu có thay đổi - lưu lượng sẽ chuyển hướng sang nơi khác, có thể có chủ đích hoặc do ai đó kiểm soát nhà đăng ký của bạn.
MX: máy trao đổi thư (mail exchangers). Bản ghi MX mới (hoặc tệ hơn là thiếu MX) nghĩa là email bắt đầu chuyển hướng khác. Việc mất email âm thầm là kịch bản tệ nhất cho doanh nghiệp.
NS: nameserver. Khi thay đổi - ai đó đã chuyển vùng DNS của bạn sang nhà cung cấp khác - thay đổi mạnh nhất có thể với tên miền. Thay đổi NS gần như luôn là di cư có kế hoạch hoặc bị chiếm đoạt tài khoản nhà đăng ký.
TXT: bất kỳ bản ghi văn bản nào, thường dùng để xác thực tên miền (Google, Microsoft, Stripe, v.v.) và cho SPF/DKIM/DMARC.
SPF, DMARC, CAA: bản ghi bảo mật chuyên dụng cho email và cấp phát chứng chỉ. Đặc biệt, thay đổi CAA có thể cho phép kẻ tấn công lấy chứng chỉ TLS cho tên miền của bạn.

Bảng điều khiển hiển thị tất cả bản ghi hiện có trong chế độ xem mở rộng của monitor, nên bạn sẽ thấy ngay lập tức những gì đang được công bố.

Phát hiện thay đổi

Monitor giữ bản snapshot các bản ghi A, AAAA, MX và NS cho từng monitor. Mỗi lần kiểm tra sâu, các bản ghi hiện có sẽ được so sánh với snapshot trước đó. Các bản ghi biến mất sẽ đánh dấu là "đã xóa", bản mới là "đã thêm". Cả hai danh sách đều xuất hiện trong báo cáo thay đổi.

Nếu bất kỳ nhóm bản ghi nào theo dõi bị thay đổi, sẽ có cảnh báo qua các kênh được bật. Thông báo sẽ nêu loại bản ghi nào thay đổi và liệt kê chính xác những gì đã được thêm và xóa. Thay vì chỉ báo "DNS thay đổi cho example.com", bạn nhận được "MX cho example.com: đã xóa mail.oldhost.com, đã thêm mail-1.attacker.com" – giúp bạn hiểu ngay vấn đề.

Bạn có thể tắt cảnh báo thay đổi DNS riêng biệt với các cảnh báo khác trong trường hợp di chuyển có kế hoạch tạo ra nhiều thông báo. Hãy tắt, thực hiện di chuyển, bật lại sau khi đã ổn định.

Tại sao có thể phát hiện điều các công cụ khác bỏ lỡ

Hầu hết các công cụ kiểm tra uptime xem DNS chỉ như một bước thiết lập - lấy để giải quyết URL xong là thôi. Nhưng vào thời điểm đối thủ (hoặc kẻ tấn công, hoặc lỗi deploy ngày thứ Sáu) thay đổi DNS của bạn, việc phân giải này bắt đầu trỏ tới IP khác, và monitor chỉ kiểm HTTP vẫn báo xanh vì IP mới cũng trả về 200. Nếu không giám sát ở cấp DNS, thay đổi sẽ vô hình cho đến khi ai đó kiểm tra thủ công. Đến lúc đó có thể bạn đã mất email trong nhiều ngày hoặc vị trí tìm kiếm đã giảm đi trong nhiều tuần.

Giám sát DNS còn phát hiện các sự cố từ chính nhà cung cấp DNS. Một số nhà cung cấp đôi khi làm mất hoặc đảo lộn bản ghi khi cập nhật vùng; có nơi còn gặp lỗi khu vực khiến truy vấn từ vị trí này trả về kết quả khác với nơi khác. So sánh snapshot để lộ ra các sự cố này.

Cấu hình

Giám sát DNS được kích hoạt tự động cho mỗi monitor HTTP/keyword/API. Kiểm tra sâu đầu tiên (trong vòng 24h từ khi thêm monitor) sẽ lưu snapshot cơ bản – cảnh báo sẽ không được gửi ngay, chỉ những lần sau khi phát hiện sự khác biệt mới gửi. Để bật/tắt cảnh báo thay đổi DNS, hãy chuyển công tắc "Thông báo khi DNS thay đổi" trong phần Tùy chọn ở Thông Báo. Chế độ xem mở rộng của bất kỳ monitor nào luôn hiển thị trạng thái DNS đầy đủ, bao gồm SPF, DMARC và CAA, dù chúng không được theo dõi sự thay đổi, nhưng vẫn hữu ích cho việc kiểm tra định kỳ.

Câu hỏi thường gặp

Những bản ghi DNS nào được monitor theo dõi?
Theo mặc định là A, AAAA, MX, NS, TXT và CNAME. Monitor sẽ chụp snapshot các giá trị đã phân giải sau mỗi lần kiểm tra và gửi cảnh báo khi có giá trị thay đổi — được thêm, xóa hoặc sửa đổi.
Tại sao cần giám sát DNS — nhà cung cấp DNS của tôi chẳng phải rất đáng tin sao?
Vấn đề không phải là độ tin cậy — mà là thay đổi. DNS bị chiếm quyền, cập nhật nhầm khi di chuyển, CDN ngoại quay vòng IP, hay tài khoản nhà đăng ký bị xâm nhập — tất cả đều là thay đổi bản ghi. Giám sát DNS phát hiện được trong vòng vài phút thay vì nhiều ngày.
Monitor xử lý caching TTL như thế nào?
Việc phân giải luôn hỏi trực tiếp nameserver có thẩm quyền (không phải resolver cục bộ của bạn), do vậy giới hạn TTL không làm ẩn thay đổi. Mỗi lần kiểm tra đều là truy vấn mới tới nguồn - nếu bản ghi tại nguồn thay đổi, monitor sẽ phát hiện ở lần kiểm tra tiếp theo.
Tôi có thể giám sát trạng thái xác thực DNSSEC không?
Có. Monitor ghi lại trạng thái DNSSEC (đã ký/chưa ký) mỗi lần kiểm tra và cảnh báo khi có thay đổi. Một tên miền hôm qua còn DNSSEC-signed mà hôm nay chuyển sang không được ký là một sự cố bảo mật cần điều tra ngay lập tức.
Tôi có nhận cảnh báo giả từ DNS load balancing không?
Nếu bản ghi A của bạn trả về nhiều IP thay đổi luân phiên, monitor sẽ thấy "thay đổi" ở mỗi lần kiểm tra. Để lọc bớt, hãy cấu hình expected-values để bao gồm tất cả IP có thể có, hoặc tắt giám sát bản ghi A trên domain đó và chỉ dựa vào kiểm tra HTTP cho tính sẵn sàng.

Giám sát DNS