DNS 是網(wǎng)絡(luò)堆棧中一個(gè)關(guān)鍵但經(jīng)常被忽略的組件。監(jiān)控 DNS 查詢(xún)異?？梢詭椭鷻z測(cè)和糾正潛在問(wèn)題。

“一勞永逸”是大多數(shù)網(wǎng)絡(luò)團(tuán)隊(duì)在其權(quán)威域名系統(tǒng) (DNS)中遵循的方法。如果系統(tǒng)正常工作并且最終用戶(hù)找到了與創(chuàng)收應(yīng)用程序、服務(wù)和內(nèi)容的網(wǎng)絡(luò)連接，那么管理員通常會(huì)說(shuō)你不應(yīng)該成功。

不幸的是，DNS 的可靠性常常讓我們認(rèn)為這是理所當(dāng)然的。很容易將 DNS 作為后臺(tái)服務(wù)注銷(xiāo)，因?yàn)樗男阅芊浅：谩Ｈ欢?，這種非常“一勞永逸”的策略常常讓性能和可靠性問(wèn)題得不到診斷，從而給網(wǎng)絡(luò)團(tuán)隊(duì)造成盲點(diǎn)。當(dāng)這些未診斷的問(wèn)題堆積起來(lái)或暫時(shí)未得到解決時(shí)，它們很容易轉(zhuǎn)移為更重要的網(wǎng)絡(luò)性能問(wèn)題。

事實(shí)上，與任何機(jī)器或系統(tǒng)一樣，DNS 需要偶爾進(jìn)行調(diào)整。即使它運(yùn)行良好，也需要注意特定的 DNS 錯(cuò)誤，這樣小問(wèn)題就不會(huì)爆發(fā)為更重要的問(wèn)題。

我想就網(wǎng)絡(luò)團(tuán)隊(duì)在解決 DNS 問(wèn)題時(shí)要尋找的內(nèi)容分享一些建議。

設(shè)置基準(zhǔn) DNS 指標(biāo)

沒(méi)有兩個(gè)網(wǎng)絡(luò)配置相同。沒(méi)有兩個(gè)網(wǎng)絡(luò)具有相同的性能配置文件。每個(gè)網(wǎng)絡(luò)都有使其獨(dú)一無(wú)二的怪癖和特點(diǎn)。這就是為什么在診斷任何問(wèn)題之前了解網(wǎng)絡(luò)的“正常”情況很重要的原因。

DNS 數(shù)據(jù)可以讓您了解一段時(shí)間內(nèi)的平均查詢(xún)量。對(duì)于大多數(shù)企業(yè)來(lái)說(shuō)，這將是一個(gè)相對(duì)穩(wěn)定的數(shù)字?？赡軙?huì)有季節(jié)性變化（尤其是在零售等行業(yè)），但這些通常是可以預(yù)測(cè)的。隨著客戶(hù)群或服務(wù)量的增長(zhǎng)，大多數(shù)企業(yè)會(huì)看到查詢(xún)量逐漸增加，但這通常也遵循既定模式。

查看查詢(xún)量的組合也很重要。您的大部分 DNS 流量是否流向特定域？各種后端資源之間的 DNS 查詢(xún)組合有多穩(wěn)定（或多變）？這些問(wèn)題的答案對(duì)于每個(gè)企業(yè)都是不同的，并且可能會(huì)根據(jù)網(wǎng)絡(luò)團(tuán)隊(duì)對(duì)負(fù)載平衡、產(chǎn)品資源和交付成本等問(wèn)題的決策而改變。

監(jiān)控 NXDOMAIN 響應(yīng)

NXDOMAIN 響應(yīng)清楚地表明出現(xiàn)了問(wèn)題。對(duì)于“胖手指”查詢(xún)、標(biāo)準(zhǔn)重定向錯(cuò)誤和可能超出網(wǎng)絡(luò)團(tuán)隊(duì)控制范圍的用戶(hù)端問(wèn)題，至少返回一些 NXDOMAIN 是正常的。

IBM 公司最近的全球 DNS 數(shù)據(jù)報(bào)告NS1顯示，出于某種原因，3-6% 的 DNS 查詢(xún)會(huì)收到 NXDOMAIN 響應(yīng)。在“正?！本W(wǎng)絡(luò)設(shè)置中，可能會(huì)出現(xiàn)處于或接近該范圍的任何情況。

當(dāng)您超過(guò)兩位數(shù)時(shí)，可能會(huì)發(fā)生更大的事情。不過(guò)，模式的性質(zhì)很重要。NXDOMAIN 響應(yīng)緩慢但穩(wěn)定地增加可能是一個(gè)長(zhǎng)期存在的錯(cuò)誤配置問(wèn)題，它模擬了整體流量。NXDOMAIN 的突然激增可能是本地化（但影響很大）的錯(cuò)誤配置或 DDoS 攻擊。

關(guān)鍵是要密切關(guān)注 NXDOMAIN 響應(yīng)占整體查詢(xún)量的百分比。偏離規(guī)范通常是某事不對(duì)的明顯標(biāo)志——然后就變成了為什么不對(duì)以及如何解決它的問(wèn)題。在大多數(shù)情況下，更深入地研究異常上升的時(shí)間和特征將提供有關(guān)其發(fā)生原因的線索。

NXDOMAIN 響應(yīng)并不總是壞事。事實(shí)上，它們可能代表著潛在的商機(jī)。如果有人試圖查詢(xún)您的域或子域，但結(jié)果是空的，這可能表明您應(yīng)該購(gòu)買(mǎi)或開(kāi)始使用該域。

注意內(nèi)部 DNS 數(shù)據(jù)的暴露

一種特別令人擔(dān)憂的 NXDOMAIN 響應(yīng)類(lèi)型是由將內(nèi)部 DNS 區(qū)域和記錄數(shù)據(jù)暴露到互聯(lián)網(wǎng)的錯(cuò)誤配置引起的。這種錯(cuò)誤配置不僅會(huì)產(chǎn)生不必要的查詢(xún)量，從而影響性能，而且還是一個(gè)嚴(yán)重的安全問(wèn)題。

陳舊的 URL 重定向通常是暴露內(nèi)部記錄的原因。在合并或收購(gòu)的劇變中，系統(tǒng)有時(shí)會(huì)指向逐漸消失或被重新用于其他用途的屬性。系統(tǒng)仍在公開(kāi)尋找舊連接，但沒(méi)有找到預(yù)期的答案。工作量越小，就越有可能被忽視。

注意地理

如果您為流量的來(lái)源設(shè)置標(biāo)準(zhǔn)基線，就可以更輕松地發(fā)現(xiàn)異常DDoS 攻擊、錯(cuò)誤配置，甚至在它們出現(xiàn)時(shí)發(fā)現(xiàn)更廣泛的使用模式變化。特定區(qū)域服務(wù)器的流量突然增加與整體查詢(xún)量的更廣泛增加是不同類(lèi)型的問(wèn)題。按地理位置跟蹤您的 DNS 數(shù)據(jù)有助于確定您面臨的問(wèn)題，并最終提供有關(guān)如何處理它的線索。

檢查 SERVFAIL 是否配置錯(cuò)誤的別名記錄

別名記錄是錯(cuò)誤配置的常見(jiàn)來(lái)源，它們本身就值得定期審計(jì)。我發(fā)現(xiàn) SERVFAIL 響應(yīng)的增加——無(wú)論是突然激增還是逐漸增加——通常可以追溯到別名記錄的問(wèn)題。

沒(méi)有錯(cuò)誤數(shù)據(jù)？考慮 IPv6

NXDOMAIN 的響應(yīng)非常簡(jiǎn)單——沒(méi)有找到記錄。當(dāng)您看到返回的響應(yīng)為 NOERROR 時(shí)，事情變得有點(diǎn)微妙，但您也看到?jīng)]有返回任何答案。雖然沒(méi)有針對(duì)這種情況的官方 RFC 代碼，但當(dāng)應(yīng)答計(jì)數(shù)器返回“0”時(shí)，通常稱(chēng)為 NOERROR NODATA 響應(yīng)。NOERROR NODATA 表示已找到記錄，但它不是應(yīng)該存在的記錄類(lèi)型。

如果您看到很多 NOERROR NODATA 響應(yīng)，根據(jù)我們的經(jīng)驗(yàn)，解析器通常正在尋找 AAAA 記錄。如果您收到大量 NOERROR NODATA 響應(yīng)，我發(fā)現(xiàn)添加對(duì) IPv6 的支持通?？梢越鉀Q問(wèn)題。

DNS 基數(shù)和安全隱患

在 DNS 的世界里，有兩種類(lèi)型的基數(shù)需要擔(dān)心。解析器基數(shù)是指查詢(xún)您的 DNS 記錄的解析器數(shù)量。查詢(xún)名稱(chēng)基數(shù)是指您每分鐘收到查詢(xún)的不同 DNS 名稱(chēng)的數(shù)量。

測(cè)量 DNS 基數(shù)很重要，因?yàn)樗赡苤甘緪阂饣顒?dòng)。具體來(lái)說(shuō)，DNS 查詢(xún)名稱(chēng)基數(shù)的增加可能表示隨機(jī)標(biāo)簽攻擊或大規(guī)模探測(cè)您的基礎(chǔ)設(shè)施。解析器基數(shù)的增加可能表明您正成為僵尸網(wǎng)絡(luò)的目標(biāo)。如果您突然發(fā)現(xiàn)解析器基數(shù)增加，則可能表明存在某種攻擊。

審核編輯：湯梓紅