Frage Einige DNS-Server auf der Welt geben für unsere Domain eine falsche IP-Adresse an?


Unsere Domäne, grahamhancock.com, wird fälschlicherweise von ein paar Leuten auf der ganzen Welt aufgelöst, aber sie löst die meisten Leute korrekt.

Wenn ich eine Liste von freien offenen DNS-Providern durchführe, werden ca. 90% korrekt aufgelöst und Informationen mit unserer Zonendatei übereinstimmen. 10% jedoch nicht und behaupten, dass die IP-Adresse mit einigen verknüpft ist Amazon EC2 Instanz, die wir nie in der Vergangenheit besessen oder jemals benutzt haben. Hier einige Beispiele für DNS-Server, die falsche Informationen liefern:

dig www.grahamhancock.com @173.84.127.88
dig www.grahamhancock.com @209.222.18.222

Wie könnten diese Server die falschen Informationen haben und wie können wir die Situation wieder in den Griff bekommen?

Könnte das etwas böswilliges oder eine Fehlkonfiguration sein? Wir sind eine Website mit einer Trefferanzahl von einer Million Seiten pro Monat, mit guten Suchrankings. Wir sind wahrscheinlich ein Ziel für etwas Schädliches. Die falsche IP-Adresse, die der fehlerhafte Server an einige Personen zurückgibt, verweist auf eine Site, auf der Sie schnell reich werden, auf einer AWS EC2-Instanz.

Was sollen wir machen?


25
2017-07-30 14:24


Ursprung


Ist das der tatsächliche Domain-Name? - Drifter104
Ja, das ist die wahre Domäne. - Duncan Marshall
Einige DNS-Server sind auch schlecht konfiguriert, die Frage ist, warum Ihr Kunde nicht ihren ISP-DNS verwendet? Zumindest können Sie eine Hotline fragen, um es zu reparieren, wenn auf einem ISP DNS. - yagmoth555♦
Unsere Benutzer benutzen die DNS-Server ihres ISP, aber diese Server akzeptieren meine Anfragen nicht, da ich nicht ihr Kunde bin. Die oben genannten DNS-Server sind öffentlich und ich habe sie zum Testen verwendet. Wenn sie falsch konfiguriert sind, werden sie auf die gleiche Weise falsch konfiguriert und sind plötzlich falsch konfiguriert, da dies gestern nicht passiert ist. Hier ist die IP eines der DNS-Server eines Benutzers des Internetdienstanbieters: 177.86.168.11. Unsere anderen Benutzer waren nicht reaktionsfähig oder kompetent genug, um uns die IP ihres DNS-Servers mitzuteilen. - Duncan Marshall
Darf ich dem Originalposter im Vorbeigehen zutiefst danken, dass es den tatsächlichen Domainnamen in seine Frage aufgenommen hat, anstatt es zu redigieren? Wie ich schon früher bemerkt habeDNS - Fragen sind Mitglieder dieser Klasse, die viel schneller und kanonischer beantwortet werden können, wenn vollständige Entschliessung gemacht wird, und ich persönlich denke, dass die sehr hohe Qualität der Antworten dieser Frage teilweise darauf zurückzuführen ist, dass viele Augäpfel in der Lage sind, direkt auf die Problem. - MadHatter


Antworten:


Drifter ist korrekt, Sie haben ein Nameserver-Konfigurationsproblem. Hier ist das Ende der Ausgabe von dig +trace +additional www.grahamhancock.com:

grahamhancock.com.      172800  IN      NS      ns1.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      ns2.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      server.grahamhancock.com.
ns1.grahamhancock.com.  172800  IN      A       199.168.117.67
ns2.grahamhancock.com.  172800  IN      A       199.168.117.67
server.grahamhancock.com. 172800 IN     A       199.168.117.67
;; Received 144 bytes from 192.35.51.30#53(f.gtld-servers.net) in 92 ms

www.grahamhancock.com.  14400   IN      CNAME   grahamhancock.com.
grahamhancock.com.      14400   IN      A       199.168.117.67
grahamhancock.com.      86400   IN      NS      ns2.grahamhancock.com.com.
grahamhancock.com.      86400   IN      NS      ns1.grahamhancock.com.com.
;; Received 123 bytes from 199.168.117.67#53(ns2.grahamhancock.com) in 17 ms

Ihre Kleber Datensätze zeigen auf eine IP-Adresse von 199.168.117.67, die die richtige Antwort zurückgibt. Ihre Zone definiert jedoch Nameserver-Datensätze, die mit enden com.com. Wenn wir +trace einer dieser Nameserver statt ...

com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
;; Received 212 bytes from 192.26.92.30#53(c.gtld-servers.net) in 22 ms

ns1.grahamhancock.com.com. 30   IN      A       54.201.82.69
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
;; Received 196 bytes from 205.251.195.127#53(ns-895.awsdns-47.net) in 16 ms

... enden wir bei den von AWS gehosteten Nameservern.

Dein Problem ist etwas bekannt als Klebesatz-Mismatch. Remote-Nameserver lernen zunächst über die Leimsätze von Ihrer Domain, aber sobald diese Remote-Server eine Aktualisierung durchführen Am Ende fragen sie die falschen Nameserver ab, die Sie mit einem Extra definiert haben .com Am Ende.

Das ist nicht dein einziges Problem. Sie geben die gleiche IP-Adresse dreimal in Ihren Glue Records an, was äußerst unbeständig ist. Sie sollten immer mehrere Nameserver haben, sie sollten niemals ein Subnetz oder einen Upstream-Netzwerk-Peer teilen, und sie sollten sich niemals am selben physischen Standort befinden. Aus heutiger Sicht führt jedes kurze Routing-Problem zwischen DNS-Servern und Ihrem einzelnen Server dazu, dass Ihre Domain vorübergehend nicht erreichbar ist.


Aktualisieren:

Dieses Q & A wurde auf der Titelseite vorgestellt und erhält viele Kommentare. Dazu gehören leider auch Leute, die nur ein wenig zu eifrig, um auf diese Antwort zu antworten, ohne zu überprüfen, ob ihre Punkte bereits in den erweiterten Kommentaren angesprochen wurden.

Das Detail, das die meisten Menschen scheinbar übersehen, ist der Kommentar, den ich hier zitiere:

  • [...] georedundante DNS-Server verhindern Szenarien, in denen eine kurze Routing-Unterbrechung zu einem temporären negativen Caching von Nameservern führt. Wie kurz die negative Caching-Periode auch sein mag, sie wird mit hoher Wahrscheinlichkeit die Zeit überschreiten, in der es zu einer Verbindungsunterbrechung gekommen ist. [...] Die Anzahl der Szenarien, in denen die fehlende DNS-Geo-Redundanz keine sporadischen und schwer zu behebenden Verfügbarkeitsprobleme verursacht, ist genau null.

Wenn Sie denken, dass mein Verständnis von negativem Caching von Nameservern falsch ist, dann ist das ein offenes Spiel zur Diskussion, aber außerhalb müssen Sie etwas an den Tisch bringen, außer "es ist eine kleine Site und wen interessiert es, wenn sowohl die Website als auch der DNS Server ausgefallen sind zur selben Zeit". Wenn du das sagst, verstehst du das Thema nicht annähernd so gut wie du denkst.

Zweites Update:

Ich ging weiter und schrieb ein kanonisches Q & A auf die wir verlinken können, wenn das einzelne DNS-Server-Thema in der Zukunft erscheint. Hoffentlich bringt dies die Sache zur Ruhe.


43
2017-07-30 15:05



Es spielt keine Rolle, was Sie in der Systemsteuerung sehen, das ist die Realität. dig @199.168.117.67 grahamhancock.com NS macht dies explizit klar - dass Daten von Ihren Servern kommen. Da es sich hierbei um ein "finanzielles Problem" handelt, werde ich hier kurz und bündig sein: Wenn Sie keine redundanten DNS-Server betreiben, haben Sie absolut kein Geschäft Betreiben Sie Ihr eigenes DNS. Sie werden Ausfallzeiten haben. Sofern Sie dem Eigentümer nicht sehr nahe stehen, sind Sie für diese Ausfallzeit verantwortlich und können diese Konfiguration implementieren. - Andrew B
Ich höre dich, aber es liegt nicht in meinen Händen. Wie auch immer, danke für die Hilfe. - Duncan Marshall
@Bodo Fair genug. Allerdings übersehen Sie immer noch, dass georedundante DNS-Server Szenarien verhindern, in denen eine kurze Routingunterbrechung zu einem vorübergehenden negativen Caching von Nameservern führt. Wie kurz die negative Caching-Periode auch sein mag, sie wird mit hoher Wahrscheinlichkeit die Zeit überschreiten, in der es zu einer Verbindungsunterbrechung gekommen ist. (oder um es einfacher auszudrücken, da ich nicht weiter darauf antworten kann: "blah blah blah DNS blah, die Anzahl der Szenarien, bei denen die fehlende DNS-Geo-Redundanz keine sporadischen und schwer zu behebenden Verfügbarkeitsprobleme verursacht, ist genau null.".) - Andrew B
Sie können DNS-Hosting für $ 1 mit redundanten NS-Servern erhalten. Es ist keine finanzielle Entscheidung. Sei kein Cowboy. - JamesRyan
Es gibt genügend von kostenlos sekundäre DNS-Anbieter, die für Niedriglastzonen geeignet sind. Oder wie @JamesRyan oben gesagt hat, kann man einen (sehr kleinen) Geldbetrag für einen professionell verwalteten Dienst mit bezahlen etwas Art von SLA. Beide sind eine brauchbare Alternative für Websites mit wenig Verkehr. - α CVn


Die Verwendung der folgenden Tools gibt einige Hinweise

https://www.whatsmydns.net/#NS/grahamhancock.com meldet, dass die NS-Datensätze in der Domäne auf ns1.grahamhancock.com.com bemerke die extra .com

http://mxtoolbox.com/SuperTool.aspx?action=dns%3agrahamhancock.com&run=toolpage gibt auch an, dass derselbe Nameserver als autorisierend berichtet.

Wenn Sie hier nachsehen http://www.dnsstuff.com/tools#dnsReport|type=domain&&value=grahamhancock.com Es meldet auch, dass Ihre Nameserver geöffnet sind.

Es würde also irgendwo auf der Linie erscheinen, dass die Nameserver nicht korrekt eingestellt sind. Wenn sie Ihnen über ein Kontrollfeld usw. korrekt angezeigt werden, müssen Sie mit dem Anbieter sprechen, damit er sie auf den tatsächlichen Servern überprüfen kann.

Diese Links enthalten auch einen vollständigen Bericht über bewährte Verfahren und deren Umgang mit ihnen


11
2017-07-30 14:51



Und die Schmarotzer ^ H ^ H ^ H ^ H ^ H ^ H ^ H ^ H ^ Menschen an com.com haben Wildcard-DNS konfiguriert, um diese Art von Fehler zu nutzen. Wenn Ihre NS-Datei auf away.com verweist, werden sie alle Anfragen beantworten, die auf sie gerichtet sind. Versuchen dig @anything.com.com anyotherthing.com und überprüfen Sie die Autorität und zusätzliche Teile der Antwort! - Wumpus Q. Wumbley