Деякі сервери DNS у світі надають неправильну IP-адресу для нашого домену?

Наш домен, grahamhancock.com, невірно вирішується кількома людьми по всьому світу, але він вирішується правильно для більшості людей.

Коли я переглядаю список безкоштовних відкритих постачальників DNS, приблизно 90% вирішують правильно та надають інформацію, що відповідає нашому зоновому файлу. 10%, однак, не вимагають, щоб IP-адреса була пов’язана з деяким екземпляром Amazon EC2, яким ми ніколи не володіли і не користувалися. Ось кілька прикладів DNS-серверів, які дають неправильну інформацію:

dig www.grahamhancock.com @173.84.127.88
dig www.grahamhancock.com @209.222.18.222

Як ці сервери можуть мати неправильну інформацію, і як ми можемо отримати контроль над ситуацією?

Це може бути щось шкідливе чи неправильне налаштування? Ми на 1 мільйон звернень на місяць із хорошими рейтингами пошуку, тому ми, мабуть, цілі для чогось шкідливого. Неправильна IP-адреса, яку помилковий сервер повертає деяким людям, вказує на якийсь швидкий розбагатіючий сайт на екземплярі AWS EC2.

Що нам робити?

domain-name-system

— Дункан Маршалл
джерело

Це власне доменне ім’я?

— Drifter104

Так, це справжній домен.

— Данкан Маршалл

Деякі сервери DNS також погано налаштовані, питання полягає в тому, чому ваш клієнт не використовує свій DNS-провайдер ISP? якнайменше, ви можете попросити «гарячу лінію», щоб виправити її, якщо в DNS провайдера.

— yagmoth555 - GoFundMe Monica

Наші користувачі використовують DNS-сервери своїх провайдерів, але ці сервери не приймуть мої запити, оскільки я не є їх клієнтом. Наведені вище сервери DNS є загальнодоступними, тому я використовував їх для тестування. Якщо вони неправильно налаштовані, вони неправильно налаштовані таким же чином і раптом стали неправильно налаштовані, оскільки цього не було вчора. Ось IP одного з серверів DNS нашого користувача провайдера: 177.86.168.11. Наші інші користувачі не були досить чуйними або досвідченими, щоб дати нам IP свого сервера DNS.

— Дункан Маршалл

Чи можу я, подякуючи, подякувати оригінальному плакату за те, що він включив у своє запитання власне доменне ім'я, а не редагував його? Як я мав нагоду зауважити раніше , на запитання DNS є члени того класу, на які набагато простіше швидко та канонічно відповісти, коли проводиться повне розкриття інформації, і я особисто думаю, що дуже висока якість відповідей на це питання частково обумовлена багатьма очні яблука, здатні дивитися безпосередньо на проблему.

— MadHatter підтримує Моніку

Відповіді:

Drifter коректний, у вас проблема з налаштуванням сервера імен. Ось кінцевий кінець виводу з dig +trace +additional www.grahamhancock.com:

grahamhancock.com.      172800  IN      NS      ns1.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      ns2.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      server.grahamhancock.com.
ns1.grahamhancock.com.  172800  IN      A       199.168.117.67
ns2.grahamhancock.com.  172800  IN      A       199.168.117.67
server.grahamhancock.com. 172800 IN     A       199.168.117.67
;; Received 144 bytes from 192.35.51.30#53(f.gtld-servers.net) in 92 ms

www.grahamhancock.com.  14400   IN      CNAME   grahamhancock.com.
grahamhancock.com.      14400   IN      A       199.168.117.67
grahamhancock.com.      86400   IN      NS      ns2.grahamhancock.com.com.
grahamhancock.com.      86400   IN      NS      ns1.grahamhancock.com.com.
;; Received 123 bytes from 199.168.117.67#53(ns2.grahamhancock.com) in 17 ms

Ваші записи клею вказують на IP-адресу 199.168.117.67, яка повертає правильну відповідь. Однак ваша зона визначає записи серверів імен, які закінчуються com.com. Якщо ми +traceзамість цього один із цих серверів імен ...

com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
;; Received 212 bytes from 192.26.92.30#53(c.gtld-servers.net) in 22 ms

ns1.grahamhancock.com.com. 30   IN      A       54.201.82.69
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
;; Received 196 bytes from 205.251.195.127#53(ns-895.awsdns-47.net) in 16 ms

... ми опиняємось у чиїх-небудь серверів AWS, що розміщуються.

Ваша проблема - це щось відоме як невідповідність запису клею . Віддалені сервери імен спочатку дізнаються про ваш домен за допомогою клейових записів, але як тільки ці віддалені сервери виконують оновлення, вони в кінцевому підсумку запитують фіктивні сервери імен, які ви визначили додатковим .comв кінці.

Це не єдина ваша проблема. Ви тричі перераховуєте ту саму IP-адресу у своїх записах про клей, що є надзвичайно мінливим. Ви завжди повинні мати декілька серверів імен, вони ніколи не повинні мати спільну мережу або однорангову мережу вище, і вони ніколи не повинні розташовуватися в одному фізичному місці. У цьому випадку будь-яка коротка проблема маршрутизації між DNS-серверами та вашим єдиним сервером призведе до тимчасового недоступності вашого домену.

Оновлення:

Це питання та відповіді розміщено на головній сторінці та отримує багато коментарів. На жаль, це включає в себе людей , які тільки небагато занадто нетерплячий , щоб відповісти на цей відповідь , не перевіряючи , щоб побачити , якщо їх точки вже були розглянуті в розширених коментарів.

Деталі, які, здається, більшість людей не помічають - це коментар, який я цитую тут:

[...] гео зайві DNS-сервери запобігають сценаріям, коли коротке переривання маршрутизації призводить до тимчасового негативного кешування серверів імен. Однак якщо короткий період негативного кешування закінчується, він майже напевно перевищить кількість часу, коли відбулося перерву підключення. [...] кількість сценаріїв, коли нестача георедукцій DNS не створюватиме спорадичні та важко вирішити проблеми з доступністю, рівно дорівнює нулю.

Якщо ви вважаєте, що моє розуміння негативного кешування серверів імен є неправильним, це відкрита гра для обговорення, але поза цим вам потрібно внести щось до таблиці, окрім "це невеликий сайт, і хто дбає, якщо і веб-сайт, і сервер DNS не працюють в той самий час". Якщо ви це говорите, ви не розумієте тему майже так добре, як ви думаєте.

Друге оновлення:

Я пішов вперед і написав канонічні запитання і відповіді, з якими ми можемо зв’язуватися, коли в майбутньому з'явиться тема єдиного сервера DNS. Сподіваємось, це ставить справу в спокій.

— Андрій Б
джерело

Не має значення, що ви бачите на панелі управління, це реальність цього. dig @199.168.117.67 grahamhancock.com NSце чітко пояснює - дані надходять з ваших серверів. Що стосується того, що це "фінансова проблема", то тут я зроблю прямо: якщо ви не збираєтеся запускати надмірні сервери DNS, у вас абсолютно немає бізнесу, який керує вашим власним DNS. У вас буде простої. Якщо ви не дуже близькі до власника, ви будете нести відповідальність за цей час простою і дозволити реалізацію цієї конфігурації.

— Ендрю Б

Я вас чую, але це не в моїх руках. У будь-якому випадку, дякую за допомогу.

— Дункан Маршалл

@Bodo Fair досить. Це означає, що ви все ще не помічаєте факту, що гео зайві DNS-сервери запобігають сценаріям, коли коротке переривання маршрутизації призводить до тимчасового негативного кешування серверів імен. Однак якщо короткий період негативного кешування закінчується, він майже напевно перевищить кількість часу, коли відбулося перерву підключення. (або простіше кажучи, оскільки я не можу продовжувати відповідати на це: "бла-бла-благ DNS-благ, кількість сценаріїв, коли відсутність резервування геоданих DNS не створить спорадичні та важко вирішити проблеми з доступністю точно дорівнює нулю" .)

— Андрій Б

Ви можете отримати хостинг DNS за 1 долар за допомогою резервних NS-серверів. Це не фінансовий вибір. Не будь ковбоєм.

— JamesRyan

Існує безліч безкоштовних вторинних постачальників DNS, які є достатніми для зон з низьким навантаженням. Або, як @JamesRyan сказав вище, можна заплатити (дуже невелику) суму грошей за професійно керовану послугу з якоюсь угодами про угода. Обидва є життєздатною альтернативою для сайтів із низьким рівнем руху.

— CVn

Використання наступних інструментів дає пару підказів

https://www.whatsmydns.net/#NS/grahamhancock.comповідомляє, що NS записує на точку домену, щоб ns1.grahamhancock.com.comпомітити додатковий .com

http://mxtoolbox.com/SuperTool.aspx?action=dns%3agrahamhancock.com&run=toolpage також повідомляє, що той самий сервер імен повідомляє як авторитетний.

Якщо ви подивитесь тут, http://www.dnsstuff.com/tools#dnsReport|type=domain&&value=grahamhancock.comвін також повідомляє, що ваші сервери імен відкриті.

Отже, десь уздовж рядка сервери імен не встановлені правильно. Якщо вони з’являються вам правильно через панель керування тощо, вам потрібно буде поговорити з постачальником, щоб він міг перевірити їх на власних серверах.

Ці посилання також мають повний звіт про кращі практики та способи боротьби з ними

— Drifter104
джерело

І паразити ^ H ^ H ^ H ^ H ^ H ^ H ^ H ^ H ^ Hpeople на com.comналаштували wildcard DNS, щоб скористатися такою помилкою. Якщо ваш запис NS вказує на будь-який сайт.com.com, вони відповідатимуть на будь-які запити, які вони отримують, таким чином, що спрямовує трафік на них. Спробуйте dig @anything.com.com anyotherthing.comперевірити повноваження та додаткові розділи відповіді!