主页 / server / 问题 / 709694
Accepted
Duncan Marshall
Asked: 2015-07-31 06:24:53 +0800 CST

世界上某些 DNS 服务器为我们的域提供了错误的 IP 地址?

  • 772

我们的域名 grahamhancock.com 被世界各地的少数人错误地解析,但它对大多数人来说是正确的。

当我浏览一个免费的开放 DNS 提供商列表时,大约 90% 可以正确解析并提供与我们的区域文件一致的信息。然而,10% 的人不这样做,并声称该 IP 地址与我们过去从未拥有或使用过的某个Amazon EC2实例相关联。以下是一些给出错误信息的 DNS 服务器示例:

dig www.grahamhancock.com @173.84.127.88
dig www.grahamhancock.com @209.222.18.222

这些服务器怎么可能有错误的信息,我们怎样才能重新控制局面呢?

这可能是恶意的,还是配置错误?我们是一个每月点击量达 100 万次的网站,搜索排名很高,因此我们可能是恶意攻击的目标。错误服务器返回给某些人的错误 IP 地址指向 AWS EC2 实例上的某个快速致富站点。

我们应该做什么?

domain-name-system

2 个回答

  1. Best Answer

    Drifter 是正确的,您有名称服务器配置问题。这是来自的输出的结尾dig +trace +additional www.grahamhancock.com

    grahamhancock.com.      172800  IN      NS      ns1.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      ns2.grahamhancock.com.
grahamhancock.com.      172800  IN      NS      server.grahamhancock.com.
ns1.grahamhancock.com.  172800  IN      A       199.168.117.67
ns2.grahamhancock.com.  172800  IN      A       199.168.117.67
server.grahamhancock.com. 172800 IN     A       199.168.117.67
;; Received 144 bytes from 192.35.51.30#53(f.gtld-servers.net) in 92 ms

www.grahamhancock.com.  14400   IN      CNAME   grahamhancock.com.
grahamhancock.com.      14400   IN      A       199.168.117.67
grahamhancock.com.      86400   IN      NS      ns2.grahamhancock.com.com.
grahamhancock.com.      86400   IN      NS      ns1.grahamhancock.com.com.
;; Received 123 bytes from 199.168.117.67#53(ns2.grahamhancock.com) in 17 ms

    您的粘合记录指向 IP 地址 199.168.117.67,它返回正确的响应。但是,您的区域正在定义以com.com. 如果我们+trace改为使用这些名称服务器之一...

    com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
;; Received 212 bytes from 192.26.92.30#53(c.gtld-servers.net) in 22 ms

ns1.grahamhancock.com.com. 30   IN      A       54.201.82.69
com.com.                172800  IN      NS      ns-1084.awsdns-07.org.
com.com.                172800  IN      NS      ns-180.awsdns-22.com.
com.com.                172800  IN      NS      ns-2015.awsdns-59.co.uk.
com.com.                172800  IN      NS      ns-895.awsdns-47.net.
;; Received 196 bytes from 205.251.195.127#53(ns-895.awsdns-47.net) in 16 ms

    ...我们最终在某人的 AWS 托管名称服务器上。

    您的问题是所谓的胶水记录不匹配。远程名称服务器最初通过粘合记录了解您的域,但是一旦这些远程服务器执行刷新,它们最终会查询您在最后定义的虚假名称服务器.com

    这不是你唯一的问题。您在粘合记录中列出了 3 次相同的 IP 地址,这非常不稳定。您应该始终拥有多个名称服务器,它们不应共享子网或上游网络对等点,并且它们不应位于同一物理位置。按照目前的情况,DNS 服务器和您的单个服务器之间的任何短暂路由问题都会导致您的域暂时无法访问。

    更新:

    此问答已登上头版并获得大量评论。不幸的是,这包括那些过于急于回复这个答案而不检查他们的观点是否已经在扩展评论中得到解决的人。

    大多数人似乎忽略的细节是我在这里引用的评论:

    • [...] 地理冗余 DNS 服务器可防止短暂的路由中断导致名称服务器暂时负缓存的情况。无论最终的负缓存期有多短,它几乎肯定会超过连接中断的时间量。[...] 缺少 DNS 地理冗余不会造成零星且难以解决的可用性问题的场景数量正好为零。

    如果您认为我对名称服务器的负缓存的理解是错误的,那是可以讨论的开放游戏,但除此之外,您需要提出一些问题,而不是“这是一个小站点,谁在乎网站和 DNS 服务器是否都关闭了同时”。如果你这么说,你对这个话题的理解几乎没有你想象的那么好。

    第二次更新:

    我继续写了一个规范的问答,我们可以在将来出现单个 DNS 服务器主题时链接到它。希望这能解决问题。

    • 44

  2. 使用以下工具提供了一些线索

    https://www.whatsmydns.net/#NS/grahamhancock.com报告域上的 NS 记录指向ns1.grahamhancock.com.com注意额外的 .com

    http://mxtoolbox.com/SuperTool.aspx?action=dns%3agrahamhancock.com&run=toolpage还报告同一名称服务器报告为权威。

    如果您查看此处http://www.dnsstuff.com/tools#dnsReport|type=domain&&value=grahamhancock.com,它还会报告您的名称服务器已打开。

    所以它会出现在名称服务器设置不正确的地方。如果它们通过控制面板等正确显示给您,您将需要与提供商交谈,以便他们可以在实际服务器上检查它们。

    这些链接还包含有关最佳实践以及如何处理它们的完整报告

    • 11

相关问题