Alguns servidores DNS no mundo fornecendo endereços IP incorretos para o nosso domínio?

25

Nosso domínio, grahamhancock.com está sendo resolvido incorretamente por algumas pessoas em todo o mundo, mas é resolvido corretamente para a maioria das pessoas.

Quando eu leio uma lista de provedores de DNS abertos gratuitos, cerca de 90% são resolvidos corretamente e fornecem informações consistentes com nosso arquivo de zona. 10%, no entanto, não afirmam e afirmam que o endereço IP é um link para alguma instância do Amazon EC2 que nunca possuímos ou usamos no passado. Aqui estão alguns exemplos de servidores DNS que fornecem informações incorretas:

dig www.grahamhancock.com @173.84.127.88
dig www.grahamhancock.com @209.222.18.222

Como esses servidores podem ter as informações erradas e como podemos recuperar o controle da situação?

Isso poderia ser algo malicioso ou uma configuração incorreta? Somos um site de 1 milhão de acessos por mês, com boas classificações de pesquisa, portanto, provavelmente somos alvo de algo malicioso. O endereço IP errado que o servidor incorreto está retornando para algumas pessoas aponta para algum site de enriquecimento rápido em uma instância do AWS EC2.

O que deveríamos fazer?

domain-name-system Duncan Marshall
fonte
1
Esse é o nome de domínio real?
precisa saber é o seguinte
1
Sim, esse é o domínio real.
Duncan Marshall
Alguns servidores DNS também estão mal configurados, a pergunta é por que seu cliente não usa o DNS do ISP? pelo menos, você pode solicitar uma linha direta para corrigi-la se estiver em um DNS do ISP.
yagmoth555 - GoFundMe Monica
Nossos usuários estão usando os servidores DNS de seu provedor de serviços de Internet, mas esses servidores não aceitarão minhas consultas, pois não sou seu cliente. Os servidores DNS acima são públicos, então eu os usei para testar. Se forem configurados incorretamente, serão configurados da mesma maneira e de repente ficarão configurados incorretamente, pois isso não estava acontecendo ontem. Aqui está o IP de um dos servidores DNS do ISP do nosso usuário: 177.86.168.11. Nossos outros usuários não foram responsivos ou proficientes o suficiente para nos fornecer o IP do servidor DNS.
Duncan Marshall
6
Gostaria de agradecer profundamente ao pôster original por incluir o nome de domínio real em sua pergunta, em vez de editá-lo? Como já tive ocasião de observar antes , as perguntas de DNS são membros dessa classe que são muito mais fáceis de responder rápida e canonicamente quando é feita uma divulgação completa, e eu pessoalmente acho que a alta qualidade das respostas que essa pergunta teve deve-se em parte a muitas globos oculares sendo capazes de olhar diretamente para o problema.
MadHatter suporta Monica

Respostas:

44

O Drifter está correto, você tem um problema de configuração do servidor de nomes. Aqui está o final da saída de dig +trace +additional www.grahamhancock.com:

grahamhancock.com.      172800  IN      NS      ns1.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      ns2.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      server.grahamhancock.com.
ns1.grahamhancock.com.  172800  IN      A       199.168.117.67
ns2.grahamhancock.com.  172800  IN      A       199.168.117.67
server.grahamhancock.com. 172800 IN     A       199.168.117.67
;; Received 144 bytes from 192.35.51.30#53(f.gtld-servers.net) in 92 ms

www.grahamhancock.com.  14400   IN      CNAME   grahamhancock.com.
grahamhancock.com.      14400   IN      A       199.168.117.67
grahamhancock.com.      86400   IN      NS      ns2.grahamhancock.com.com.
grahamhancock.com.      86400   IN      NS      ns1.grahamhancock.com.com.
;; Received 123 bytes from 199.168.117.67#53(ns2.grahamhancock.com) in 17 ms

Seus registros de cola estão apontando para um endereço IP 199.168.117.67, que retorna a resposta correta. Sua zona, no entanto, está definindo os registros do servidor de nomes que terminam em com.com. Se +traceum desses servidores de nomes em vez disso ...

com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
;; Received 212 bytes from 192.26.92.30#53(c.gtld-servers.net) in 22 ms

ns1.grahamhancock.com.com. 30   IN      A       54.201.82.69
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
;; Received 196 bytes from 205.251.195.127#53(ns-895.awsdns-47.net) in 16 ms

... acabamos nos servidores de nomes hospedados na AWS de alguém.

Seu problema é algo conhecido como incompatibilidade de registro de cola . Os servidores de nomes remotos estão aprendendo inicialmente sobre o seu domínio por meio dos registros de cola, mas depois que esses servidores remotos realizam uma atualização, eles acabam consultando os servidores de nomes falsos que você definiu com um extra .comno final.

Este não é o seu único problema. Você está listando o mesmo endereço IP três vezes em seus registros de cola, o que é extremamente volátil. Você sempre deve ter vários servidores de nomes, eles nunca devem compartilhar um ponto de rede de sub-rede ou upstream e nunca devem estar localizados no mesmo local físico. Atualmente, qualquer problema de roteamento entre os servidores DNS e o servidor único fará com que o seu domínio fique temporariamente inacessível.

Atualizar:

Esta sessão de perguntas e respostas foi apresentada na primeira página e está recebendo muitos comentários. Infelizmente, isso inclui as pessoas que estão apenas um pouco ansioso demais para responder a esta resposta sem verificar para ver se os seus pontos já foram abordadas nos comentários expandidas.

O detalhe que a maioria das pessoas parece ignorar é o comentário que estou citando aqui:

  • [...] servidores DNS com redundância geográfica impedem cenários em que uma breve interrupção de roteamento resulta em cache negativo temporário de servidores de nomes. Por mais breve que seja o período de armazenamento em cache negativo, ele quase certamente excederá a quantidade de tempo em que houve uma interrupção na conectividade. [...] o número de cenários em que a falta de redundância geográfica do DNS não cria esporadicamente e é difícil solucionar problemas de disponibilidade é exatamente zero.

Se você acha que meu entendimento do armazenamento em cache negativo de servidores de nomes está errado, isso é um jogo aberto para discussão, mas fora disso, você precisa trazer algo para a mesa que não seja "um site pequeno e quem se importa se o site e o servidor DNS estiverem inativos" ao mesmo tempo". Se você está dizendo isso, não entende o assunto tão bem quanto pensa.

Segunda atualização:

Fui adiante e escrevi uma sessão de perguntas e respostas canônicas à qual podemos vincular sempre que surgir o tópico do servidor DNS único no futuro. Espero que isso coloque o assunto para descansar.

Andrew B
fonte
15
Não importa o que você vê no painel de controle, essa é a realidade. dig @199.168.117.67 grahamhancock.com NSdeixa isso explicitamente claro - que os dados são provenientes de seus servidores. Quanto a este ser um "problema financeiro", vou ser franco aqui: se você não estiver executando servidores DNS redundantes, não terá absolutamente nenhum negócio operando seu próprio DNS. Você terá tempo de inatividade. A menos que você esteja muito próximo do proprietário, você será responsável por esse tempo de inatividade e permitirá que essa configuração seja implementada.
Andrew B
1
Eu ouço você, mas está fora de minhas mãos. De qualquer forma, obrigado pela ajuda.
Duncan Marshall
2
@Bodo Fair bastante. Dito isso, você ainda está negligenciando o fato de que servidores DNS com redundância geográfica impedem cenários em que uma breve interrupção de roteamento resulta em cache negativo temporário de servidores de nomes. Por mais breve que seja o período de armazenamento em cache negativo, ele quase certamente excederá a quantidade de tempo em que houve uma interrupção na conectividade. (ou, para simplificar, já que não posso continuar respondendo a isso: "blá blá blá DNS blá, o número de cenários em que a falta de redundância geográfica do DNS não criará esporadicamente e difíceis de solucionar problemas de disponibilidade é exatamente zero" .)
Andrew B
15
Você pode obter hospedagem DNS por US $ 1 com servidores NS redundantes. Não é uma escolha financeira. Não seja um cowboy.
21915 JamesRyan
4
Existem muitos provedores DNS secundários gratuitos que são adequados para zonas de baixa carga. Ou, como o @JamesRyan disse acima, pode-se pagar uma quantia (muito pequena) por um serviço gerenciado profissionalmente com algum tipo de SLA. Ambos são alternativas viáveis ​​para sites de baixo tráfego.
um CVn
11

O uso das seguintes ferramentas fornece algumas dicas

https://www.whatsmydns.net/#NS/grahamhancock.comrelata que os registros NS no domínio apontam para ns1.grahamhancock.com.comobservar o .com extra

http://mxtoolbox.com/SuperTool.aspx?action=dns%3agrahamhancock.com&run=toolpage também relata que o mesmo servidor de nomes está relatando como autoritativo.

Se você der uma olhada aqui http://www.dnsstuff.com/tools#dnsReport|type=domain&&value=grahamhancock.com, também informa que seus servidores de nomes estão abertos.

Portanto, em algum ponto da linha, os servidores de nomes não estão configurados corretamente. Se eles aparecerem corretamente através de um painel de controle, etc, você precisará falar com o provedor para que eles possam ser verificados nos servidores reais.

Esses links também têm um relatório completo sobre as melhores práticas e como lidar com elas

Drifter104
fonte
22
E os parasitas com.comconfiguraram o DNS curinga para tirar proveito desse tipo de erro. Se o seu registro NS apontar para nothing.com.com, eles responderão às consultas que receberem de uma maneira que direcione o tráfego para eles. Experimente dig @anything.com.com anyotherthing.come confira a autoridade e seções adicionais da resposta!