DNS 是網絡堆棧中一個關鍵但經常被忽略的組件。監(jiān)控 DNS 查詢異常可以幫助您檢測和糾正潛在問題。

“一勞永逸”是大多數(shù)網絡團隊在其權威域名系統(tǒng) (DNS)中遵循的方法。如果系統(tǒng)正常工作并且最終用戶找到了與創(chuàng)收應用程序、服務和內容的網絡連接，那么管理員通常會說你不應該成功。

不幸的是，DNS 的可靠性常常讓我們認為這是理所當然的。很容易將 DNS 作為后臺服務注銷，因為它的性能非常好。然而，這種非?！耙粍谟酪荨钡牟呗猿３Ｗ屝阅芎涂煽啃詥栴}得不到診斷，從而給網絡團隊造成盲點。當這些未診斷的問題堆積起來或暫時未得到解決時，它們很容易轉移為更重要的網絡性能問題。

事實上，與任何機器或系統(tǒng)一樣，DNS 需要偶爾進行調整。即使它運行良好，也需要注意特定的 DNS 錯誤，這樣小問題就不會爆發(fā)為更重要的問題。

我想就網絡團隊在解決 DNS 問題時要尋找的內容分享一些建議。

設置基準 DNS 指標

沒有兩個網絡配置相同。沒有兩個網絡具有相同的性能配置文件。每個網絡都有使其獨一無二的怪癖和特點。這就是為什么在診斷任何問題之前了解網絡的“正?！鼻闆r很重要的原因。

DNS 數(shù)據(jù)可以讓您了解一段時間內的平均查詢量。對于大多數(shù)企業(yè)來說，這將是一個相對穩(wěn)定的數(shù)字?？赡軙屑竟?jié)性變化（尤其是在零售等行業(yè)），但這些通常是可以預測的。隨著客戶群或服務量的增長，大多數(shù)企業(yè)會看到查詢量逐漸增加，但這通常也遵循既定模式。

查看查詢量的組合也很重要。您的大部分 DNS 流量是否流向特定域？各種后端資源之間的 DNS 查詢組合有多穩(wěn)定（或多變）？這些問題的答案對于每個企業(yè)都是不同的，并且可能會根據(jù)網絡團隊對負載平衡、產品資源和交付成本等問題的決策而改變。

監(jiān)控 NXDOMAIN 響應

NXDOMAIN 響應清楚地表明出現(xiàn)了問題。對于“胖手指”查詢、標準重定向錯誤和可能超出網絡團隊控制范圍的用戶端問題，至少返回一些 NXDOMAIN 是正常的。

IBM 公司最近的全球 DNS 數(shù)據(jù)報告NS1顯示，出于某種原因，3-6% 的 DNS 查詢會收到 NXDOMAIN 響應。在“正?！本W絡設置中，可能會出現(xiàn)處于或接近該范圍的任何情況。

當您超過兩位數(shù)時，可能會發(fā)生更大的事情。不過，模式的性質很重要。NXDOMAIN 響應緩慢但穩(wěn)定地增加可能是一個長期存在的錯誤配置問題，它模擬了整體流量。NXDOMAIN 的突然激增可能是本地化（但影響很大）的錯誤配置或 DDoS 攻擊。

關鍵是要密切關注 NXDOMAIN 響應占整體查詢量的百分比。偏離規(guī)范通常是某事不對的明顯標志——然后就變成了為什么不對以及如何解決它的問題。在大多數(shù)情況下，更深入地研究異常上升的時間和特征將提供有關其發(fā)生原因的線索。

NXDOMAIN 響應并不總是壞事。事實上，它們可能代表著潛在的商機。如果有人試圖查詢您的域或子域，但結果是空的，這可能表明您應該購買或開始使用該域。

注意內部 DNS 數(shù)據(jù)的暴露

一種特別令人擔憂的 NXDOMAIN 響應類型是由將內部 DNS 區(qū)域和記錄數(shù)據(jù)暴露到互聯(lián)網的錯誤配置引起的。這種錯誤配置不僅會產生不必要的查詢量，從而影響性能，而且還是一個嚴重的安全問題。

陳舊的 URL 重定向通常是暴露內部記錄的原因。在合并或收購的劇變中，系統(tǒng)有時會指向逐漸消失或被重新用于其他用途的屬性。系統(tǒng)仍在公開尋找舊連接，但沒有找到預期的答案。工作量越小，就越有可能被忽視。

注意地理

如果您為流量的來源設置標準基線，就可以更輕松地發(fā)現(xiàn)異常DDoS 攻擊、錯誤配置，甚至在它們出現(xiàn)時發(fā)現(xiàn)更廣泛的使用模式變化。特定區(qū)域服務器的流量突然增加與整體查詢量的更廣泛增加是不同類型的問題。按地理位置跟蹤您的 DNS 數(shù)據(jù)有助于確定您面臨的問題，并最終提供有關如何處理它的線索。

檢查 SERVFAIL 是否配置錯誤的別名記錄

別名記錄是錯誤配置的常見來源，它們本身就值得定期審計。我發(fā)現(xiàn) SERVFAIL 響應的增加——無論是突然激增還是逐漸增加——通常可以追溯到別名記錄的問題。

沒有錯誤數(shù)據(jù)？考慮 IPv6

NXDOMAIN 的響應非常簡單——沒有找到記錄。當您看到返回的響應為 NOERROR 時，事情變得有點微妙，但您也看到沒有返回任何答案。雖然沒有針對這種情況的官方 RFC 代碼，但當應答計數(shù)器返回“0”時，通常稱為 NOERROR NODATA 響應。NOERROR NODATA 表示已找到記錄，但它不是應該存在的記錄類型。

如果您看到很多 NOERROR NODATA 響應，根據(jù)我們的經驗，解析器通常正在尋找 AAAA 記錄。如果您收到大量 NOERROR NODATA 響應，我發(fā)現(xiàn)添加對 IPv6 的支持通常可以解決問題。

DNS 基數(shù)和安全隱患

在 DNS 的世界里，有兩種類型的基數(shù)需要擔心。解析器基數(shù)是指查詢您的 DNS 記錄的解析器數(shù)量。查詢名稱基數(shù)是指您每分鐘收到查詢的不同 DNS 名稱的數(shù)量。

測量 DNS 基數(shù)很重要，因為它可能指示惡意活動。具體來說，DNS 查詢名稱基數(shù)的增加可能表示隨機標簽攻擊或大規(guī)模探測您的基礎設施。解析器基數(shù)的增加可能表明您正成為僵尸網絡的目標。如果您突然發(fā)現(xiàn)解析器基數(shù)增加，則可能表明存在某種攻擊。

審核編輯：湯梓紅