Некоторые DNS-серверы в мире дают неправильный IP-адрес для нашего домена?

25

Наш домен, grahamhancock.com, ошибочно решается несколькими людьми по всему миру, но для большинства людей он разрешается правильно.

Когда я запускаю список бесплатных открытых провайдеров DNS, около 90% разрешают правильно и дают информацию, соответствующую нашему файлу зоны. Однако 10% этого не делают и утверждают, что IP-адрес связан с каким-то экземпляром Amazon EC2, которым мы никогда не пользовались и не пользовались в прошлом. Вот несколько примеров DNS-серверов, дающих неверную информацию:

dig www.grahamhancock.com @173.84.127.88
dig www.grahamhancock.com @209.222.18.222

Как эти серверы могут иметь неверную информацию и как мы можем вернуть контроль над ситуацией?

Может ли это быть что-то вредоносное или неправильная конфигурация? Мы - сайт с миллионом посещений в месяц, с хорошим поисковым рейтингом, поэтому мы, вероятно, являемся мишенью для чего-то вредоносного. Неправильный IP-адрес, который ошибочный сервер возвращает некоторым людям, указывает на какой-то сайт быстрого обогащения в экземпляре AWS EC2.

Что нам делать?

Дункан Маршалл
источник
1
Это фактическое доменное имя?
Drifter104
1
Да, это настоящий домен.
Дункан Маршалл
Некоторые DNS-серверы также плохо настроены, вопрос в том, почему ваш клиент не использует свой DNS-провайдер? по крайней мере, вы можете попросить горячую линию, чтобы исправить это, если на DNS провайдера.
yagmoth555 - GoFundMe Monica
Наши пользователи используют DNS-серверы своих интернет-провайдеров, но эти серверы не будут принимать мои запросы, поскольку я не являюсь их клиентом. Приведенные выше DNS-серверы являются общедоступными, поэтому я использовал их для тестирования. Если они неправильно настроены, они неправильно настроены таким же образом, и внезапно стали неправильно настроены, поскольку это не произошло вчера. Вот IP-адрес одного из DNS-серверов нашего интернет-провайдера: 177.86.168.11. Другие наши пользователи не были достаточно отзывчивы или опытны, чтобы сообщить нам IP-адрес своего DNS-сервера.
Дункан Маршалл
6
Могу ли я мимоходом поблагодарить оригинального автора за то, что он включил в свой вопрос фактическое доменное имя, а не отредактировал его? Как я уже успел заметить ранее , вопросы DNS являются членами этого класса, на которые гораздо проще и быстрее ответить на канонический вопрос при полном раскрытии информации, и я лично считаю, что очень высокое качество ответов на этот вопрос частично объясняется многими глазные яблоки могут смотреть прямо на проблему.
MadHatter поддерживает Монику

Ответы:

44

Drifter правильно, у вас есть проблема конфигурации сервера имен. Вот конец вывода из dig +trace +additional www.grahamhancock.com:

grahamhancock.com.      172800  IN      NS      ns1.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      ns2.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      server.grahamhancock.com.
ns1.grahamhancock.com.  172800  IN      A       199.168.117.67
ns2.grahamhancock.com.  172800  IN      A       199.168.117.67
server.grahamhancock.com. 172800 IN     A       199.168.117.67
;; Received 144 bytes from 192.35.51.30#53(f.gtld-servers.net) in 92 ms

www.grahamhancock.com.  14400   IN      CNAME   grahamhancock.com.
grahamhancock.com.      14400   IN      A       199.168.117.67
grahamhancock.com.      86400   IN      NS      ns2.grahamhancock.com.com.
grahamhancock.com.      86400   IN      NS      ns1.grahamhancock.com.com.
;; Received 123 bytes from 199.168.117.67#53(ns2.grahamhancock.com) in 17 ms

Ваши склеенные записи указывают на IP-адрес 199.168.117.67, который возвращает правильный ответ. Однако ваша зона определяет записи сервера имен, заканчивающиеся на com.com. Если мы +traceвместо одного из этих серверов имен ...

com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
;; Received 212 bytes from 192.26.92.30#53(c.gtld-servers.net) in 22 ms

ns1.grahamhancock.com.com. 30   IN      A       54.201.82.69
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
;; Received 196 bytes from 205.251.195.127#53(ns-895.awsdns-47.net) in 16 ms

... мы попадаем на чьи-то серверы имен AWS.

Ваша проблема известна как несоответствие записей клея . Удаленные серверы имен первоначально узнают о вашем домене с помощью склеенных записей, но как только эти удаленные серверы выполнят обновление, они в конце концов будут запрашивать фиктивные серверы имен, которые вы определили с дополнительным .comв конце.

Это не единственная ваша проблема. Вы указываете один и тот же IP-адрес три раза в своих записях, что крайне нестабильно. У вас всегда должно быть несколько серверов имен, они никогда не должны совместно использовать одноранговую сеть или одноранговый сетевой узел, и они никогда не должны находиться в одном и том же физическом местоположении. В настоящее время проблема кратковременной маршрутизации между DNS-серверами и вашим отдельным сервером приведет к тому, что ваш домен будет временно недоступен.


Обновить:

Этот Q & A был показан на первой странице и получает много комментариев. К сожалению, это включает в себя людей , которые только немногое слишком нетерпеливый , чтобы ответить на этот ответ , не проверяя , чтобы увидеть , если их точки уже были рассмотрены в расширенных комментариев.

Подробности, которые большинство людей упускают из виду, - это комментарий, который я цитирую здесь:

  • [...] гео-избыточные DNS-серверы предотвращают ситуации, когда кратковременное прерывание маршрутизации приводит к временному отрицательному кешированию серверов имен. Как бы ни был короток период отрицательного кэширования, он почти наверняка превысит количество времени, в течение которого произошел сбой подключения. [...] число сценариев, в которых отсутствие гео-избыточности DNS не будет создавать спорадические и трудные для устранения проблемы доступности, равно нулю.

Если вы считаете, что мое понимание негативного кеширования серверов имен неверно, это открытая игра для обсуждения, но помимо этого вам нужно поднести что-то к столу, кроме «это небольшой сайт, и кого волнует, не работает ли и сайт, и DNS-сервер в то же время". Если вы говорите это, вы понимаете тему не так хорошо, как думаете.

Второе обновление:

Я продолжил писать канонические вопросы и ответы, на которые мы можем ссылаться всякий раз, когда в будущем появится тема с одним DNS-сервером. Надеюсь, это положит конец делу.

Андрей Б
источник
15
Неважно, что вы видите на панели управления, это реальность. dig @199.168.117.67 grahamhancock.com NSясно дает понять, что данные поступают с ваших серверов. Что касается того, что это «финансовая проблема», то здесь я буду откровенен: если вы не собираетесь запускать избыточные DNS-серверы, у вас совершенно нет бизнеса, управляющего собственным DNS. У вас будет время простоя. Если вы не очень близки к владельцу, вы будете нести ответственность за это время простоя и позволять реализовать эту конфигурацию.
Андрей B
1
Я слышу тебя, но это не в моих руках. В любом случае спасибо за помощь.
Дункан Маршалл
2
@ Бодро Справедливо достаточно. Тем не менее, вы все еще упускаете из виду тот факт, что гео-избыточные DNS-серверы предотвращают сценарии, в которых кратковременное прерывание маршрутизации приводит к временному отрицательному кешированию серверов имен. Как бы ни был короток период отрицательного кэширования, он почти наверняка превысит количество времени, в течение которого произошел сбой подключения. (или, проще говоря, поскольку я не могу продолжать отвечать на это: «бла-бла-бла, DNS-бла, количество сценариев, в которых отсутствие гео-избыточности DNS не будет создавать спорадические и трудные для устранения проблем доступности, точно равно нулю») .)
Andrew B
15
Вы можете получить DNS-хостинг за $ 1 с избыточными серверами NS. Это не финансовый выбор. Не будь ковбоем.
Джеймс Райан
4
Существует множество бесплатных вторичных DNS-провайдеров, подходящих для зон с низкой нагрузкой. Или, как сказал @JamesRyan выше, можно заплатить (очень небольшую) сумму денег за профессионально управляемый сервис с каким- то SLA. Оба являются жизнеспособными альтернативами для сайтов с низким трафиком.
CVn
11

Использование следующих инструментов дает пару подсказок

https://www.whatsmydns.net/#NS/grahamhancock.comсообщает, что записи NS на домене указывают на то, ns1.grahamhancock.com.comчто дополнительные .com

http://mxtoolbox.com/SuperTool.aspx?action=dns%3agrahamhancock.com&run=toolpage также сообщает, что тот же сервер имен сообщает как уполномоченный.

Если вы посмотрите здесь, http://www.dnsstuff.com/tools#dnsReport|type=domain&&value=grahamhancock.comон также сообщает, что ваши серверы имен открыты.

Таким образом, это могло бы появиться где-то вдоль линии, серверы имен установлены неправильно. Если они отображаются правильно через панель управления и т. Д., Вам нужно будет поговорить с поставщиком, чтобы они могли проверить их на реальных серверах.

Эти ссылки также содержат полный отчет о лучших практиках и о том, как с ними бороться

Drifter104
источник
22
И паразиты ^ H ^ H ^ H ^ H ^ H ^ H ^ H ^ H ^ Люди com.comнастроили DNS с подстановочными знаками, чтобы воспользоваться этой ошибкой. Если ваша запись NS указывает на что-нибудь.com, они ответят на любые запросы, которые направят им трафик. Попробуйте dig @anything.com.com anyotherthing.comпроверить полномочия и дополнительные разделы ответа!