Niektóre serwery DNS na świecie podają zły adres IP dla naszej domeny?

25

Nasza domena grahamhancock.com jest nieprawidłowo rozwiązywana przez kilka osób na całym świecie, ale w przypadku większości osób jest ona prawidłowa.

Kiedy przeglądam listę bezpłatnych otwartych dostawców DNS, około 90% rozwiązuje poprawnie i podaje informacje zgodne z naszym plikiem strefy. Jednak 10% nie twierdzi i twierdzi, że adres IP jest powiązany z niektórymi instancjami Amazon EC2, których nigdy wcześniej nie posiadaliśmy ani z których nie korzystaliśmy. Oto kilka przykładowych serwerów DNS podających nieprawidłowe informacje:

dig www.grahamhancock.com @173.84.127.88
dig www.grahamhancock.com @209.222.18.222

W jaki sposób te serwery mogą mieć nieprawidłowe informacje i jak możemy odzyskać kontrolę nad sytuacją?

Czy może to być coś złośliwego lub błędna konfiguracja? Jesteśmy witryną z milionem odsłon miesięcznie, z dobrymi rankingami wyszukiwania, więc prawdopodobnie jesteśmy celem czegoś złośliwego. Nieprawidłowy adres IP, który błędny serwer zwraca niektórym osobom, wskazuje na stronę szybkiego wzbogacania się w instancji AWS EC2.

Co powinniśmy zrobić?

domain-name-system Duncan Marshall
źródło
1
Czy to rzeczywista nazwa domeny?
Drifter104
1
Tak, to jest prawdziwa domena.
Duncan Marshall
Niektóre serwery DNS są również źle skonfigurowane. Pytanie brzmi: dlaczego klient nie korzysta z DNS usługodawcy internetowego? przynajmniej możesz poprosić o infolinię, aby naprawić to, jeśli na ISP DNS.
yagmoth555 - GoFundMe Monica
Nasi użytkownicy używają serwerów DNS swojego dostawcy ISP, ale serwery te nie przyjmują moich zapytań, ponieważ nie jestem ich klientem. Powyższe serwery DNS są publiczne, więc użyłem ich do przetestowania. Jeśli są źle skonfigurowane, są źle skonfigurowane w ten sam sposób i nagle uległy błędnej konfiguracji, ponieważ nie działo się to wczoraj. Oto adres IP jednego z serwerów DNS naszego usługodawcy internetowego: 177.86.168.11. Nasi inni użytkownicy nie reagowali ani nie byli wystarczająco biegli, aby podać adres IP swojego serwera DNS.
Duncan Marshall
6
Czy przechodząc dogłębnie dziękuję oryginalnemu plakatowi za uwzględnienie rzeczywistej nazwy domeny w jego pytaniu zamiast redagowania go? Jak miałem okazję wcześniej zauważyć , pytania DNS są członkami tej klasy, na które o wiele łatwiej jest odpowiedzieć szybko i kanonicznie, gdy zostanie wykonane pełne dsclosure, i osobiście uważam, że bardzo wysoka jakość odpowiedzi na to pytanie jest częściowo spowodowana wieloma gałki oczne mogą spojrzeć bezpośrednio na problem.
MadHatter obsługuje Monikę

Odpowiedzi:

44

Drifter jest poprawny, masz problem z konfiguracją serwera nazw. Oto koniec danych wyjściowych z dig +trace +additional www.grahamhancock.com:

grahamhancock.com.      172800  IN      NS      ns1.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      ns2.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      server.grahamhancock.com.
ns1.grahamhancock.com.  172800  IN      A       199.168.117.67
ns2.grahamhancock.com.  172800  IN      A       199.168.117.67
server.grahamhancock.com. 172800 IN     A       199.168.117.67
;; Received 144 bytes from 192.35.51.30#53(f.gtld-servers.net) in 92 ms

www.grahamhancock.com.  14400   IN      CNAME   grahamhancock.com.
grahamhancock.com.      14400   IN      A       199.168.117.67
grahamhancock.com.      86400   IN      NS      ns2.grahamhancock.com.com.
grahamhancock.com.      86400   IN      NS      ns1.grahamhancock.com.com.
;; Received 123 bytes from 199.168.117.67#53(ns2.grahamhancock.com) in 17 ms

Twoje rekordy kleju wskazują adres IP 199.168.117.67, który zwraca poprawną odpowiedź. Twoja strefa jednak definiuje rekordy serwera nazw kończące się na com.com. Jeśli +tracezamiast tego mamy jeden z tych serwerów nazw ...

com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
;; Received 212 bytes from 192.26.92.30#53(c.gtld-servers.net) in 22 ms

ns1.grahamhancock.com.com. 30   IN      A       54.201.82.69
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
;; Received 196 bytes from 205.251.195.127#53(ns-895.awsdns-47.net) in 16 ms

... kończymy na czyichś serwerach nazw AWS.

Twój problem jest znany jako niedopasowanie rekordu kleju . Zdalne serwery nazw początkowo uczą się o Twojej domenie za pomocą rekordów klejów, ale gdy te zdalne serwery dokonają odświeżenia , w końcu odpytują fałszywe serwery nazw, które zdefiniowałeś .comna końcu.

To nie jest twój jedyny problem. Podajesz trzykrotnie ten sam adres IP w swoich zapisach dotyczących kleju, co jest niezwykle niestabilne. Zawsze powinieneś mieć wiele serwerów nazw, nigdy nie powinny one współużytkować podsieci lub sieci równorzędnej i nigdy nie powinny znajdować się w tej samej fizycznej lokalizacji. W obecnej sytuacji wszelkie krótkie problemy z routingiem między serwerami DNS a pojedynczym serwerem spowodują, że domena będzie tymczasowo niedostępna.

Aktualizacja:

Te pytania i odpowiedzi pojawiły się na pierwszej stronie i otrzymały wiele komentarzy. Niestety, dotyczy to osób, które są nieco zbyt chętne, aby odpowiedzieć na tę odpowiedź bez sprawdzania, czy ich uwagi zostały już uwzględnione w rozszerzonych komentarzach.

Szczegółem, który wydaje się być przeoczony, jest komentarz, który tutaj cytuję:

  • [...] geograficznie nadmiarowe serwery DNS zapobiegają scenariuszom, w których krótkie przerwy w routingu powodują tymczasowe negatywne buforowanie serwerów nazw. Jakkolwiek krótki jest okres ujemnego buforowania, prawie na pewno przekroczy on czas, w którym nastąpiła przerwa w łączności. [...] liczba scenariuszy, w których brak nadmiarowości geograficznej DNS nie spowoduje sporadycznych i trudnych do rozwiązania problemów z dostępnością, wynosi dokładnie zero.

Jeśli uważasz, że moje rozumienie negatywnego buforowania serwerów nazw jest błędne, jest to otwarta gra do dyskusji, ale poza tym musisz przedstawić coś innego niż „to mała strona i kogo to obchodzi, czy zarówno strona internetowa, jak i serwer DNS nie działają w tym samym czasie". Jeśli to mówisz, nie rozumiesz tematu tak dobrze, jak ci się wydaje.

Druga aktualizacja:

Napisałem kanoniczne pytania i odpowiedzi , z którymi możemy się połączyć, ilekroć w przyszłości pojawi się temat pojedynczego serwera DNS. Mam nadzieję, że to uspokoi sprawę.

Andrew B.
źródło
15
Nie ma znaczenia, co widzisz na panelu sterowania, taka jest rzeczywistość. dig @199.168.117.67 grahamhancock.com NSwyraźnie to wyjaśnia - dane pochodzą z twoich serwerów. Co do tego, że jest to „problem finansowy”, będę tu bez ogródek: jeśli nie zamierzasz uruchamiać nadmiarowych serwerów DNS, to absolutnie nie masz biznesu, który prowadzi własny DNS. Będziesz miał przestoje. O ile nie jesteś bardzo blisko właściciela, będziesz odpowiedzialny za ten czas przestoju i umożliwienie wdrożenia tej konfiguracji.
Andrew B,
1
Słyszę cię, ale to nie w moich rękach. W każdym razie dzięki za pomoc.
Duncan Marshall
2
@ Bodo Do przyjęcia. To powiedziawszy, wciąż przeoczasz fakt, że nadmiarowe geograficznie serwery DNS zapobiegają scenariuszom, w których krótkie przerwanie routingu powoduje tymczasowe negatywne buforowanie serwerów nazw. Jakkolwiek krótki jest okres ujemnego buforowania, prawie na pewno przekroczy on czas, w którym nastąpiła przerwa w łączności. (lub mówiąc prościej, ponieważ nie mogę ciągle odpowiadać na to: „bla bla bla DNS bla bla, liczba scenariuszy, w których brak nadmiarowości geograficznej DNS nie spowoduje sporadycznych i trudnych do rozwiązania problemów z dostępnością wynosi dokładnie zero” .)
Andrew B
15
Możesz uzyskać hosting DNS za 1 $ z nadmiarowymi serwerami NS. To nie jest wybór finansowy. Nie bądź kowbojem.
JamesRyan
4
Istnieje wiele bezpłatnych dodatkowych dostawców DNS, które są odpowiednie dla stref niskiego obciążenia. Lub, jak powiedział powyżej @JamesRyan, można zapłacić (bardzo małą) kwotę za profesjonalnie zarządzaną usługę z jakimś SLA. Obie są realną alternatywą dla witryn o niskim natężeniu ruchu.
CVn
11

Korzystanie z poniższych narzędzi daje kilka wskazówek

https://www.whatsmydns.net/#NS/grahamhancock.cominformuje, że rekordy NS w domenie wskazują ns1.grahamhancock.com.comna dodatkowy .com

http://mxtoolbox.com/SuperTool.aspx?action=dns%3agrahamhancock.com&run=toolpage informuje również, że ten sam serwer nazw zgłasza wiarygodność.

Jeśli spojrzysz tutaj http://www.dnsstuff.com/tools#dnsReport|type=domain&&value=grahamhancock.com to również informuje, że twoje serwery nazw są otwarte.

Wygląda więc na to, że gdzieś wzdłuż linii serwery nazw nie są ustawione poprawnie. Jeśli pojawiają się one poprawnie za pośrednictwem panelu sterowania itp., Musisz porozmawiać z dostawcą, aby mógł sprawdzić je na rzeczywistych serwerach.

Te linki zawierają również pełny raport na temat najlepszych praktyk i sposobów postępowania z nimi

Drifter104
źródło
22
A pasożyty ^ H ^ H ^ H ^ H ^ H ^ H ^ H ^ H ^ Ludzie w com.comskonfigurowali wieloznaczny DNS, aby skorzystać z tego rodzaju błędu. Jeśli Twój rekord NS wskazuje na cokolwiek.com.com, odpowiedzą na wszelkie otrzymane zapytania w sposób, który skieruje do nich ruch. Spróbuj dig @anything.com.com anyotherthing.comsprawdzić autorytet i dodatkowe sekcje odpowiedzi!