Einige DNS-Server auf der Welt geben eine falsche IP-Adresse für unsere Domain an?

25

Unsere Domain grahamhancock.com wird von einigen Leuten auf der ganzen Welt fälschlicherweise aufgelöst, aber für die meisten Leute wird sie richtig aufgelöst.

Wenn ich eine Liste der freien offenen DNS-Anbieter durchlaufe, werden ca. 90% korrekt aufgelöst und geben Informationen an, die mit unserer Zonendatei übereinstimmen. 10% tun dies jedoch nicht und behaupten, dass die IP-Adresse mit einer Amazon EC2- Instanz verknüpft ist, die wir in der Vergangenheit noch nie besessen oder verwendet haben. Hier einige Beispiele für DNS-Server, die die falschen Informationen angeben:

dig www.grahamhancock.com @173.84.127.88
dig www.grahamhancock.com @209.222.18.222

Wie können diese Server die falschen Informationen haben und wie können wir die Situation wieder unter Kontrolle bringen?

Könnte dies etwas Bösartiges oder eine Fehlkonfiguration sein? Wir sind eine 1-Million-Hits-pro-Monat-Site mit guten Suchrankings, also sind wir wahrscheinlich ein Ziel für etwas Bösartiges. Die falsche IP-Adresse, die der fehlerhafte Server an einige Personen zurückgibt, verweist auf eine Site, die schnell reich wird, in einer AWS EC2-Instanz.

Was sollen wir machen?

domain-name-system Duncan Marshall
quelle
1
Ist das der eigentliche Domainname?
Drifter104
1
Ja, das ist die wahre Domäne.
Duncan Marshall
Einige DNS-Server sind auch schlecht konfiguriert. Die Frage ist, warum Ihr Kunde nicht den ISP-DNS verwendet. Als Mindestanforderung können Sie eine Hotline bitten, diese auf einem ISP-DNS zu reparieren.
yagmoth555 - GoFundMe Monica
Unsere Benutzer verwenden die DNS-Server ihres ISP, aber diese Server akzeptieren meine Abfragen nicht, da ich nicht ihr Kunde bin. Die oben genannten DNS-Server sind öffentlich und daher habe ich sie zum Testen verwendet. Wenn sie falsch konfiguriert sind, sind sie auf die gleiche Weise falsch konfiguriert und wurden plötzlich falsch konfiguriert, da dies gestern nicht geschehen ist. Hier ist die IP-Adresse des DNS-Servers eines ISP-Benutzers: 177.86.168.11. Unsere anderen Benutzer reagierten nicht oder waren nicht kompetent genug, um uns die IP-Adresse ihres DNS-Servers mitzuteilen.
Duncan Marshall
6
Darf ich dem Originalplakat beiläufig herzlich dafür danken, dass es den tatsächlichen Domainnamen in seine Frage aufgenommen hat, anstatt ihn zu redigieren? Wie ich bereits angemerkt habe, sind DNS-Fragen Mitglieder dieser Klasse, die bei vollständiger Offenlegung viel einfacher und schneller zu beantworten sind, und ich persönlich denke, dass die sehr hohe Qualität der Antworten, die diese Frage hatte, zum Teil vielen zu verdanken ist Augäpfel können direkt auf das Problem schauen.
MadHatter unterstützt Monica

Antworten:

44

Drifter ist korrekt, Sie haben ein Nameserver-Konfigurationsproblem. Hier ist das Ende der Ausgabe von dig +trace +additional www.grahamhancock.com:

grahamhancock.com.      172800  IN      NS      ns1.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      ns2.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      server.grahamhancock.com.
ns1.grahamhancock.com.  172800  IN      A       199.168.117.67
ns2.grahamhancock.com.  172800  IN      A       199.168.117.67
server.grahamhancock.com. 172800 IN     A       199.168.117.67
;; Received 144 bytes from 192.35.51.30#53(f.gtld-servers.net) in 92 ms

www.grahamhancock.com.  14400   IN      CNAME   grahamhancock.com.
grahamhancock.com.      14400   IN      A       199.168.117.67
grahamhancock.com.      86400   IN      NS      ns2.grahamhancock.com.com.
grahamhancock.com.      86400   IN      NS      ns1.grahamhancock.com.com.
;; Received 123 bytes from 199.168.117.67#53(ns2.grahamhancock.com) in 17 ms

Ihre Leimdatensätze verweisen auf eine IP-Adresse von 199.168.117.67, die die richtige Antwort zurückgibt. Ihre Zone definiert jedoch Nameserver-Einträge, die auf enden com.com. Wenn wir +tracestattdessen einer dieser Nameserver sind ...

com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
;; Received 212 bytes from 192.26.92.30#53(c.gtld-servers.net) in 22 ms

ns1.grahamhancock.com.com. 30   IN      A       54.201.82.69
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
;; Received 196 bytes from 205.251.195.127#53(ns-895.awsdns-47.net) in 16 ms

... wir landen bei einem von AWS gehosteten Nameserver.

Ihr Problem ist ein sogenannter Leimdefizit . Remote-Nameserver lernen Ihre Domain zunächst über die Glue-Datensätze kennen. Wenn diese Remote-Server jedoch eine Aktualisierung durchführen, fragen sie am Ende die falschen Nameserver ab, die Sie mit einem Extra definiert haben .com.

Dies ist nicht Ihr einziges Problem. Sie führen die gleiche IP-Adresse dreimal in Ihren Leimdatensätzen auf, was äußerst unbeständig ist. Sie sollten immer mehrere Nameserver haben, sie sollten niemals ein Subnetz oder einen Upstream-Netzwerk-Peer gemeinsam nutzen und sie sollten sich niemals am selben physischen Standort befinden. Nach dem derzeitigen Stand der Dinge führt ein kurzes Routing-Problem zwischen DNS-Servern und Ihrem einzelnen Server dazu, dass Ihre Domain vorübergehend nicht erreichbar ist.

Aktualisieren:

Diese Fragen und Antworten wurden auf der Titelseite veröffentlicht und werden immer wieder kommentiert. Dies schließt leider auch Leute ein, die nur ein bisschen zu eifrig sind, auf diese Antwort zu antworten, ohne zu prüfen, ob ihre Punkte bereits in den erweiterten Kommentaren angesprochen wurden.

Das Detail, das die meisten Leute übersehen, ist der Kommentar, den ich hier zitiere:

  • [...] georedundante DNS-Server verhindern Szenarien, in denen eine kurze Unterbrechung des Routings zu einem temporären negativen Caching von Nameservern führt. So kurz die negative Caching-Zeitspanne auch sein mag, sie wird mit ziemlicher Sicherheit die Zeitspanne überschreiten, in der eine Verbindungsunterbrechung aufgetreten ist. [...] Die Anzahl der Szenarien, in denen mangelnde DNS-Georedundanz nicht zu sporadischen und schwer zu behebenden Verfügbarkeitsproblemen führt, ist genau null.

Wenn Sie der Meinung sind, dass mein Verständnis von negativem Caching von Nameservern falsch ist, ist dies ein offenes Spiel für Diskussionen, aber abgesehen davon müssen Sie etwas anderes auf den Tisch bringen als "es ist eine kleine Site und wen interessiert es, wenn sowohl die Website als auch der DNS-Server außer Betrieb sind gleichzeitig". Wenn du das sagst, verstehst du das Thema bei weitem nicht so gut, wie du denkst.

Zweites Update:

Ich habe ein kanonisches Q & A geschrieben , auf das wir in Zukunft immer dann verweisen können, wenn das Thema einzelner DNS-Server auftaucht. Hoffentlich ist die Sache damit erledigt.

Andrew B
quelle
15
Es spielt keine Rolle, was Sie in der Systemsteuerung sehen, dies ist die Realität. dig @199.168.117.67 grahamhancock.com NSmacht dies ausdrücklich deutlich - dass Daten von Ihren Servern kommen. Da dies ein "finanzielles Problem" ist, werde ich hier kurz und bündig vorgehen: Wenn Sie keine redundanten DNS-Server betreiben, haben Sie absolut nichts damit zu tun, Ihr eigenes DNS zu betreiben. Sie werden Ausfallzeiten haben. Sofern Sie dem Eigentümer nicht sehr nahe stehen, sind Sie für diese Ausfallzeit verantwortlich und können diese Konfiguration implementieren.
Andrew B
1
Ich höre dich, aber es liegt nicht in meiner Hand. Trotzdem danke für die Hilfe.
Duncan Marshall
2
@ Bodo Fair genug. Sie übersehen jedoch immer noch die Tatsache, dass georedundante DNS-Server Szenarien verhindern, in denen eine kurze Unterbrechung des Routings zu einem temporären negativen Caching von Nameservern führt. So kurz der negative Caching-Zeitraum auch sein mag, er wird mit ziemlicher Sicherheit die Zeitspanne überschreiten, in der eine Verbindungsunterbrechung aufgetreten ist. (Oder um es einfacher auszudrücken: "bla bla bla DNS bla, die Anzahl der Szenarien, in denen mangelnde DNS-Georedundanz keine sporadischen und schwer zu lösenden Verfügbarkeitsprobleme hervorruft, ist genau null." .)
Andrew B
15
Sie können DNS-Hosting für 1 US-Dollar mit redundanten NS-Servern erhalten. Es ist keine finanzielle Entscheidung. Sei kein Cowboy.
James Ryan
4
Es gibt viele kostenlose sekundäre DNS-Anbieter, die für Niedriglastzonen geeignet sind. Oder wie @JamesRyan oben sagte, kann man einen (sehr kleinen) Geldbetrag für einen professionell verwalteten Service mit einer Art SLA bezahlen . Beides sind sinnvolle Alternativen für Standorte mit wenig Verkehr.
ein Lebenslauf vom
11

Die Verwendung der folgenden Tools gibt einige Hinweise

https://www.whatsmydns.net/#NS/grahamhancock.commeldet, dass die NS-Einträge in der Domäne auf ns1.grahamhancock.com.comdas zusätzliche .com hinweisen

http://mxtoolbox.com/SuperTool.aspx?action=dns%3agrahamhancock.com&run=toolpage meldet auch, dass derselbe Nameserver als autorisierend meldet.

Wenn Sie hier http://www.dnsstuff.com/tools#dnsReport|type=domain&&value=grahamhancock.comreinschauen, wird auch gemeldet, dass Ihre Nameserver geöffnet sind.

Es würde also irgendwo entlang der Linie erscheinen, dass die Nameserver nicht richtig eingestellt sind. Wenn sie Ihnen über ein Kontrollfeld usw. korrekt angezeigt werden, müssen Sie mit dem Anbieter sprechen, damit er sie auf den tatsächlichen Servern überprüfen kann.

Diese Links enthalten auch einen vollständigen Bericht über bewährte Methoden und den Umgang damit

Drifter104
quelle
22
Und die Parasiten com.comhaben Wildcard-DNS konfiguriert, um diese Art von Fehler auszunutzen. Wenn Ihr NS-Datensatz auf anything.com.com verweist, beantworten sie alle Fragen, die sie erhalten, so, dass der Datenverkehr zu ihnen geleitet wird. Probieren dig @anything.com.com anyotherthing.comSie die Autorität und zusätzliche Abschnitte der Antwort aus!