web-dev-qa-db-fra.com

Certains serveurs DNS au monde donnent une mauvaise adresse IP de notre domaine?

Notre domaine, GrahamhanCock.com est résolu à tort par quelques personnes du monde entier, mais elle se résout correctement pour la plupart des gens.

Lorsque je rencontre une liste de fournisseurs DNS ouverts libres, environ 90% résolvent correctement et donner des informations cohérentes avec notre fichier de zone. 10%, cependant, ne le font pas, et réclamez l'adresse IP d'être lié à certains Amazon EC2 instance que nous n'avons jamais possédée ni utilisée jamais dans le passé. Voici quelques exemples de serveurs DNS donnant les mauvaises informations:

Dig www.grahamhancock.com @173.84.127.88
Dig www.grahamhancock.com @209.222.18.222

Comment ces serveurs auraient-ils pu avoir la mauvaise information et comment pouvons-nous récupérer le contrôle de la situation?

Cela pourrait-il être quelque chose de malveillant ou d'une mauvaise configuration? Nous sommes un site de 1 million-hits-par mois, avec de bons classements de recherche, nous sommes donc probablement une cible de quelque chose de malveillant. La mauvaise adresse IP selon laquelle le serveur erroné retourne sur certaines personnes pointe sur un site Web Rich-Rich sur une instance AWS EC2.

Que devrions nous faire?

domain-name-system
25
Duncan Marshall

Drifter est correct, vous avez un problème de configuration du serveur de noms. Voici la fin de la sortie de Dig +trace +additional www.grahamhancock.com:

grahamhancock.com.      172800  IN      NS      ns1.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      ns2.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      server.grahamhancock.com.
ns1.grahamhancock.com.  172800  IN      A       199.168.117.67
ns2.grahamhancock.com.  172800  IN      A       199.168.117.67
server.grahamhancock.com. 172800 IN     A       199.168.117.67
;; Received 144 bytes from 192.35.51.30#53(f.gtld-servers.net) in 92 ms

www.grahamhancock.com.  14400   IN      CNAME   grahamhancock.com.
grahamhancock.com.      14400   IN      A       199.168.117.67
grahamhancock.com.      86400   IN      NS      ns2.grahamhancock.com.com.
grahamhancock.com.      86400   IN      NS      ns1.grahamhancock.com.com.
;; Received 123 bytes from 199.168.117.67#53(ns2.grahamhancock.com) in 17 ms

Vos enregistrements de colle indiquent une adresse IP de 199,168.117.67, qui renvoie la réponse correcte. Votre zone définit cependant des enregistrements de noms de noms de noms de noms à la fin de com.com. Si nous +trace Un de ces serveurs de noms à la place ...

com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
;; Received 212 bytes from 192.26.92.30#53(c.gtld-servers.net) in 22 ms

ns1.grahamhancock.com.com. 30   IN      A       54.201.82.69
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
;; Received 196 bytes from 205.251.195.127#53(ns-895.awsdns-47.net) in 16 ms

... Nous nous retrouvons sur les noms de noms hébergés de quelqu'un AWS.

Votre problème est quelque chose de connu sous le nom de Mismachatch record de colle. Les noms de noms distants apprennent initialement à propos de votre domaine via les enregistrements de la colle, mais une fois que ces serveurs distants effectuent une actualisation Ils finissent par interroger les bogus de noms de noms que vous avez définis avec un supplément .com à la fin.

Ce n'est pas votre seul problème. Vous répertoriez la même adresse IP trois fois dans vos enregistrements de colle, extrêmement volatil. Vous devriez toujours avoir plusieurs noms de noms, ils ne doivent jamais partager de pair de sous-réseau ou de réseau en amont, et ils ne doivent jamais être situés au même endroit physique. Au fur et à mesure que les questions se tiennent actuellement, tout problème de routage bref entre serveurs DNS et votre serveur unique fera que votre domaine soit temporairement inaccessible.

Mise à jour:

Ce Q & A a été présenté sur la page d'accueil et reçoit beaucoup de commentaires. Malheureusement, cela inclut des personnes qui ne sont qu'à un petit Trop désireux de répondre à cette réponse sans vérifier si leurs points ont déjà été abordés dans les commentaires élargis.

Le détail que la plupart des gens semblent négliger est le commentaire que je cite ici:

  • [...] Les serveurs DNS géo-redondants empêchent des scénarios où une brève interruption de routage entraîne une mise en cache négative temporaire des serveurs de noms. Cependant, la période de mise en cache négative finit par être, elle dépassera presque certainement le temps qu'il y avait une interruption de la connectivité. [...] Le nombre de scénarios où le manque de géo-redondance DNS ne créera pas sporadique et difficile à dépanner des problèmes de disponibilité est exactement zéro.

Si vous pensez que ma compréhension de la mise en cache négative des serveurs de noms est fausse, c'est un jeu ouvert pour la discussion, mais en dehors de cela, vous devez apporter quelque chose à la table autre que "c'est un petit site et qui se soucie si le serveur de site Web et DNS est en panne. à la fois". Si vous dites ceci, vous ne comprenez pas le sujet presque aussi bien que vous le pensez.

Deuxième mise à jour:

Je suis allé de l'avant et j'ai écrit un Q & A a que nous pouvons créer un lien vers chaque fois que le sujet de serveur DNS unique se présente à l'avenir. Espérons que cela met la question à se reposer.

44
Andrew B