DNS monitoring: změny záznamů, špatné IP a riziko DNS hijackingu
DNS monitoring pomáhá ověřit, že doména stále překládá tak, jak má, ne jen že vůbec existuje. Pokud DNS vrací špatnou IP adresu, špatný MX record nebo nevrací validní odpověď vůbec, web, API, e-mail nebo jiná služba se mohou stát nedostupnými nebo se provoz začne tiše posílat jinam, i když samotná infrastruktura funguje správně.
Co DNS monitoring skutečně kontroluje
DNS monitoring ověřuje, jak se doména překládá. Může jít o kontrolu, že A nebo AAAA record vrací očekávanou IP adresu, že MX record existuje a ukazuje na správnou mail infrastrukturu, nebo jednoduše o to, že lookup vůbec úspěšně proběhne z resolveru, který vás zajímá.
To je důležité proto, že DNS chyby se uživatelům jeví stejně jako outage. Pokud je aplikace zdravá, ale DNS ukazuje jinam, nic za doménou už není důležité, protože klienti se na správný endpoint vůbec nedostanou.
Kdy se DNS monitoring používá
Doména musí vždy vracet správnou IP
Typické pro weby, API a kritické služby, kde i krátká DNS chyba může znamenat downtime nebo misrouting.
Chcete odhalit nebezpečné DNS změny
Neočekávaná změna záznamu může vzniknout chybou operátora, špatným deployem, problémem u registrátora nebo v horším případě scénářem podobným hijackingu či poisoningu.
Spoléháte na konkrétní resolver nebo DNS cestu
Různé DNS servery mohou během propagace, split-horizon konfigurace nebo chyb vracet jiné odpovědi. Monitoring se může zaměřit právě na resolver, který je pro vás důležitý.
Potřebujete silnější jistotu než samotný website check
Website check ukáže, že aplikace odpověděla. DNS check ukáže, že se uživatelé vůbec posílají na správné místo.
Jak DNS monitoring funguje
Pošle se DNS dotaz na konkrétní record
Monitor se ptá na record typu A, AAAA, MX, CNAME nebo TXT pro zadanou doménu nebo hostname.
Odpověď se porovná s očekávanou hodnotou
Silný DNS check neověřuje jen to, že record existuje, ale i to, že vrací právě tu IP adresu nebo hodnotu, kterou opravdu očekáváte.
Výsledek závisí i na zvoleném resolveru
Odpovědi se mohou lišit mezi veřejnými resolvery, interními DNS servery nebo regionálními cachemi. Proto je důležité i to, kterého DNS serveru se ptáte.
Neočekávané odpovědi se mění na alert
Když record zmizí, vrací špatnou hodnotu nebo se odchýlí od očekávané odpovědi, monitoring upozorní dřív, než uživatelé vůbec pochopí, co se rozbilo.
Jak přemýšlet o běžných DNS recordech
Různé DNS records řeší různé typy směrování. Několik běžných příkladů:
A Mapuje hostname na IPv4 adresu AAAA Mapuje hostname na IPv6 adresu CNAME Vytváří alias z jednoho jména na jiný hostname MX Určuje mail servery pro danou doménu TXT Obsahuje ověřovací nebo policy text, například SPF NS Určuje autoritativní name servery zóny
A a AAAA records
Pro dostupnost webů a API bývají nejdůležitější právě tyto záznamy, protože klientům říkají, kam se mají připojit.
MX records
Doručování e-mailů závisí na tom, že MX records ukazují na správnou mail infrastrukturu.
CNAME records
Aliasy jsou dnes běžné, ale mohou skrývat upstream změny, které stejně ovlivní finální cíl.
Expected value checks
Monitoring, který porovnává odpověď s očekávanou IP nebo recordem, dává mnohem větší jistotu než prosté „record existuje“.
Proč jsou DNS chyby tak nebezpečné
DNS stojí před vším ostatním. Když doména překládá na špatné místo, může být aplikace dokonale zdravá a uživatelům přesto připadat jako down nebo rozbitá.
Právě proto není DNS monitoring jen o uptime. Pomáhá odhalit omylem změněné recordy, špatné cutovery i podezřelé odpovědi, které stojí za okamžitou kontrolu.
DNS monitoring vs website monitoring
| Téma | DNS check | HTTP/HTTPS check |
|---|---|---|
| Hlavní otázka | Překládá se doména na očekávaný record nebo IP? | Odpovídá web nebo API správně poté, co DNS lookup uspěje? |
| Nejlepší použití | Odhalení špatných záznamů, chybějících odpovědí a misroutingu. | Validace dostupnosti aplikace a chování response. |
| Co může minout | Nepotvrdí, že je cílová aplikace po navázání spojení zdravá. | Nemusí odhalit, že doména vede na špatné místo, pokud to špatné místo stále nějak odpovídá. |
Potřebujete ověřit i to, co se stane po překladu DNS?
HTTP a HTTPS monitoring potvrdí, že doména po úspěšném DNS překladu vrací správnou stránku, status code i obsah.
Přečíst článek o HTTP/HTTPS monitoringu →Jak interpretovat typické situace
Web je down, ale server je zdravý
Špatná DNS odpověď nebo rozbitý record mohou posílat uživatele na špatné místo, i když cílový server sám o sobě funguje.
Doména se překládá, ale na špatnou IP
Právě tohle je přesně případ, který expected-IP DNS monitoring pomáhá velmi rychle odhalit.
Různé resolvery vrací různé odpovědi
To se může stát při propagaci, split DNS, stale cache nebo nekonzistentních upstream změnách.
Po změně DNS přestala chodit pošta
Rozbitý MX record nebo související DNS změna mohou zastavit doručování e-mailů, i když samotný mail server proces běží.
Důležitá omezení
- ● DNS monitoring sám o sobě nepotvrzuje zdraví cílové služby po navázání spojení.
- ● Propagace a cache resolverů mohou dočasně vytvářet rozdíly, které ještě nemusí být incident.
- ● Různí klienti používají různé resolvery, takže jeden DNS vantage point neznamená zkušenost všech uživatelů.
- ● Expected value checks je potřeba udržovat ve chvíli, kdy se infrastruktura nebo failover cíle záměrně mění.
Jak lidé DNS ručně kontrolují
dig example.com A Standardní způsob, jak se podívat, jakou IPv4 adresu hostname vrací.
dig @1.1.1.1 example.com A Hodí se, když chcete porovnat odpověď konkrétního veřejného nebo interního DNS serveru.
dig example.com MX Užitečné pro kontrolu, že mail routing stále ukazuje tam, kam má.
Časté dotazy
Zdravá služba je uživatelům k ničemu, když DNS ukazuje jinam.
nsmon vám pomůže monitorovat DNS records a ověřovat očekávané odpovědi, takže odhalíte špatné IP, chybějící records i podezřelé změny dřív, než se z nich stane viditelný outage. Vytvořte si účet zdarma a začněte hlídat DNS tak, jak na něm vaše produkční domény opravdu závisejí.