Alcuni server DNS nel mondo forniscono indirizzi IP errati per il nostro dominio?

Il nostro dominio grahamhancock.com viene risolto erroneamente da alcune persone in tutto il mondo, ma si risolve correttamente per la maggior parte delle persone.

Quando cerco un elenco di provider DNS aperti gratuiti, circa il 90% si risolve correttamente e fornisce informazioni coerenti con il nostro file di zona. Il 10%, tuttavia, non lo fa e afferma che l'indirizzo IP è uno collegato a un'istanza di Amazon EC2 che non abbiamo mai posseduto o usato in passato. Ecco alcuni server DNS di esempio che forniscono informazioni errate:

dig www.grahamhancock.com @173.84.127.88
dig www.grahamhancock.com @209.222.18.222

In che modo questi server possono avere informazioni errate e come possiamo riprendere il controllo della situazione?

Potrebbe essere qualcosa di dannoso o una configurazione errata? Siamo un sito da 1 milione di hit al mese, con buoni posizionamenti di ricerca, quindi probabilmente siamo il bersaglio di qualcosa di dannoso. L'indirizzo IP errato che il server errato sta restituendo ad alcune persone indica un sito get-rich-quick su un'istanza di AWS EC2.

Cosa dovremmo fare?

domain-name-system

— Duncan Marshall
fonte

È quello il vero nome di dominio?

— Drifter104,

Sì, quello è il vero dominio.

— Duncan Marshall,

Anche alcuni server DNS sono configurati in modo errato, la domanda è: perché il tuo cliente non utilizza il suo DNS ISP? come minimo puoi chiedere a una hotline di farlo riparare se su un DNS ISP.

— yagmoth555 - GoFundMe Monica

I nostri utenti utilizzano i server DNS del proprio ISP, ma quei server non accetteranno le mie domande poiché non sono un loro cliente. I server DNS sopra sono pubblici e quindi li ho usati per testare. Se sono configurati in modo errato, sono configurati in modo errato allo stesso modo e improvvisamente si sono configurati in modo errato, dal momento che non è successo ieri. Ecco l'IP di uno dei server DNS dell'ISP dell'utente: 177.86.168.11. I nostri altri utenti non erano abbastanza reattivi o competenti per darci l'IP del loro server DNS.

— Duncan Marshall,

Posso ringraziare profondamente il poster originale per aver incluso il nome di dominio effettivo nella sua domanda, anziché averlo redatto? Come ho avuto occasione di notare prima , le domande DNS sono membri di quella classe a cui è molto più facile rispondere rapidamente e canonicamente quando viene fatta la completa dsclosure, e personalmente penso che l'altissima qualità delle risposte che questa domanda ha avuto sia in parte dovuta a molti bulbi oculari in grado di guardare direttamente il problema.

— MadHatter supporta Monica il

Risposte:

Drifter è corretto, hai un problema di configurazione del nameserver. Ecco la fine dell'output di dig +trace +additional www.grahamhancock.com:

grahamhancock.com.      172800  IN      NS      ns1.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      ns2.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      server.grahamhancock.com.
ns1.grahamhancock.com.  172800  IN      A       199.168.117.67
ns2.grahamhancock.com.  172800  IN      A       199.168.117.67
server.grahamhancock.com. 172800 IN     A       199.168.117.67
;; Received 144 bytes from 192.35.51.30#53(f.gtld-servers.net) in 92 ms

www.grahamhancock.com.  14400   IN      CNAME   grahamhancock.com.
grahamhancock.com.      14400   IN      A       199.168.117.67
grahamhancock.com.      86400   IN      NS      ns2.grahamhancock.com.com.
grahamhancock.com.      86400   IN      NS      ns1.grahamhancock.com.com.
;; Received 123 bytes from 199.168.117.67#53(ns2.grahamhancock.com) in 17 ms

I tuoi record di colla indicano un indirizzo IP di 199.168.117.67, che restituisce la risposta corretta. La tua zona tuttavia sta definendo i record del nameserver che terminano con com.com. Se invece +traceuno di quei server dei nomi ...

com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
;; Received 212 bytes from 192.26.92.30#53(c.gtld-servers.net) in 22 ms

ns1.grahamhancock.com.com. 30   IN      A       54.201.82.69
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
;; Received 196 bytes from 205.251.195.127#53(ns-895.awsdns-47.net) in 16 ms

... finiamo nei server dei nomi ospitati da AWS di qualcuno.

Il tuo problema è noto come una mancata corrispondenza del record di colla . I nameserver remoti stanno inizialmente imparando a conoscere il tuo dominio tramite i record di colla, ma una volta che quei server remoti eseguono un aggiornamento finiscono per interrogare i fasulli nameserver che hai definito con un extra .comalla fine.

Questo non è il tuo unico problema. Stai elencando lo stesso indirizzo IP tre volte nei tuoi record di colla, il che è estremamente volatile. Dovresti sempre avere più nameserver, non dovrebbero mai condividere una sottorete o un peer di rete upstream e non dovrebbero mai trovarsi nella stessa posizione fisica. Allo stato attuale delle cose, qualsiasi breve problema di routing tra i server DNS e il tuo singolo server renderà temporaneamente irraggiungibile il tuo dominio.

Aggiornare:

Questo D&R è stato pubblicato in prima pagina e sta ricevendo molti commenti. Sfortunatamente, ciò include le persone che sono un po ' troppo ansiose di rispondere a questa risposta senza verificare se i loro punti sono già stati affrontati nei commenti espansi.

Il dettaglio che molte persone sembrano trascurare è il commento che sto citando qui:

[...] i server DNS con ridondanza geografica impediscono scenari in cui una breve interruzione del routing comporta la memorizzazione temporanea nella cache negativa dei nameserver. Per quanto breve possa essere il periodo di memorizzazione nella cache negativo, quasi sicuramente supererà il periodo di tempo in cui si è verificata un'interruzione della connettività. [...] il numero di scenari in cui la mancanza di ridondanza geografica del DNS non creerà problemi sporadici e difficili da risolvere è esattamente zero.

Se ritieni che la mia comprensione della memorizzazione nella cache negativa dei nameserver sia errata, questo è un gioco di discussione aperto, ma al di fuori di questo devi portare qualcosa in tavola diverso da "è un piccolo sito e a chi importa se sia il sito Web che il server DNS sono inattivi allo stesso tempo". Se stai dicendo questo non capisci l'argomento quasi come pensi di fare.

Secondo aggiornamento:

Sono andato avanti e ho scritto una domanda e risposta canonica a cui possiamo collegarci ogni volta che in futuro verrà visualizzato il singolo argomento del server DNS. Speriamo che questo risolva la questione.

— Andrew B
fonte

Non importa cosa vedi nel pannello di controllo, questa è la realtà. dig @199.168.117.67 grahamhancock.com NSchiarisce esplicitamente che i dati provengono dai tuoi server. Dato che si tratta di un "problema finanziario", qui sarò schietto: se non si eseguono server DNS ridondanti, non si ha assolutamente alcuna attività operativa con il proprio DNS. Avrai dei tempi di inattività. A meno che tu non sia molto vicino al proprietario, sarai responsabile di quei tempi di inattività e di consentire l'implementazione di questa configurazione.

— Andrew B,

Ti sento, ma è fuori dalle mie mani. Comunque, grazie per l'aiuto.

— Duncan Marshall,

@Bodo abbastanza giusto. Detto questo, stai ancora trascurando il fatto che i server DNS con ridondanza geografica impediscono gli scenari in cui una breve interruzione del routing comporta una temporanea memorizzazione nella cache negativa dei nameserver. Per quanto breve possa essere il periodo di memorizzazione nella cache negativo, quasi sicuramente supererà il periodo di tempo in cui si è verificata un'interruzione della connettività. (o per dirla più semplicemente dal momento che non posso continuare a rispondere a questo: "blah blah blah DNS blah, il numero di scenari in cui la mancanza di ridondanza geografica del DNS non creerà sporadici e difficili problemi per risolvere i problemi di disponibilità è esattamente zero" .)

— Andrew B,

È possibile ottenere l'hosting DNS per $ 1 con server NS ridondanti. Non è una scelta finanziaria. Non fare il cowboy.

— JamesRyan,

Esistono numerosi provider DNS secondari gratuiti adeguati per le zone a basso carico. O come ha detto @JamesRyan sopra, si può pagare una (molto piccola) somma di denaro per un servizio gestito professionalmente con una sorta di SLA. Entrambe sono alternative praticabili per i siti a basso traffico.

— un CVn

L'uso dei seguenti strumenti fornisce un paio di indizi

https://www.whatsmydns.net/#NS/grahamhancock.comsegnala che i record NS sul dominio puntano a ns1.grahamhancock.com.comnotare il .com aggiuntivo

http://mxtoolbox.com/SuperTool.aspx?action=dns%3agrahamhancock.com&run=toolpage segnala inoltre che lo stesso nameserver sta segnalando come autorevole.

Se dai un'occhiata qui http://www.dnsstuff.com/tools#dnsReport|type=domain&&value=grahamhancock.com, segnala anche che i tuoi server dei nomi sono aperti.

Quindi sembrerebbe da qualche parte lungo la linea che i nameserver non siano impostati correttamente. Se ti vengono visualizzati correttamente tramite un pannello di controllo, ecc., Dovrai parlare con il provider in modo che possano controllarli sui server effettivi.

Tali collegamenti contengono anche un rapporto completo sulle migliori pratiche e su come gestirle

— Drifter104
fonte

E i parassiti ^ H ^ H ^ H ^ H ^ H ^ H ^ H ^ H ^ Gli utenti com.comhanno configurato DNS con caratteri jolly per sfruttare questo tipo di errore. Se il tuo record NS punta a qualcosa.com.com risponderanno a qualsiasi domanda ricevano in modo da indirizzare il traffico verso di loro. Prova a dig @anything.com.com anyotherthing.comcontrollare l'autorità e le sezioni aggiuntive della risposta!