Por que muitos servidores DNS não estão retornando os servidores nams para meu domínio corretamente?

5
Mark Fisher 2020-01-08 09:04.

Meu site ficou totalmente inacessível e não sei por quê.

Até recentemente, eu servia meu site por meio do cloudflare, então estava usando seus servidores de nomes. Recentemente, comecei a usar o Route 53, então mudei para os servidores de nomes da Amazon usando o painel de controle do meu registrador e descobri que meu site rapidamente ficou indisponível (estou no Reino Unido).

eu usei https://www.whatsmydns.nete descobri que alguns servidores DNS em todo o mundo não estavam retornando nenhum servidor de rede para o meu site. Foram os mesmos locais sempre que tentei, incluindo Londres, São Paulo, Alemanha, Nova Zelândia e partes dos Estados Unidos. A maioria dos locais (cerca de 3/4) eram bons.

Eu estava usando o hover.com como meu registrador na época e pensei que o problema poderia ter sido com eles, então mudei os registradores para a Amazon. Depois de transferido para a Amazon, mudei os servidores de nomes de volta para os servidores de nomes do Cloudflare, esperei que ele se propagasse e verifiquei novamente em whatsmydns.net. Estava aparecendo verde para todos os locais. Então eu mudei de volta para os servidores de nomes da Amazon. O problema era exatamente o mesmo de antes, os servidores de nomes não eram retornados por consultas DNS nos mesmos locais.

Mudei os servidores DNS em meu laptop Mac e posso acessar meu site usando os seguintes servidores DNS:

  • Sky (meu provedor de banda larga) - 90.207.238.97 e 90.207.238.99
  • OpenDNS Home - 208.67.222.222 208.67.220.220

Mas meu site fica inacessível ao usar os seguintes servidores DNS

  • Google - 8.8.8.8 e 8.8.4.4
  • Cloudflare - 1.1.1.1 e 1.0.0.1
  • Quad9 - 9.9.9.9 e 149.112.112.112
  • CleanBrowsing - 185.228.168.9 e 185.228.169.9
  • Adguard - 176.103.130.130 e 176.103.130.131
  • Verisign - 64.6.64.6 e 185.253.163.131

Os servidores de nomes que estou tentando usar são:

  • ns-1478.awsdns-56.org
  • ns-1953.awsdns-52.co.uk
  • ns-135.awsdns-16.com
  • ns-893.awsdns-47.net

Eu li que alguns grandes ISPs configuraram seus servidores DNS para violar regras, por exemplo, indicando que um nome de domínio não existe apenas porque um de seus servidores de nome não responde. Para tentar diagnosticar se isso estava ocorrendo, e havia um problema com um dos 4 servidores de nomes, mudei ontem para usar apenas os 2 primeiros servidores de nomes da lista acima, pretendendo então usar apenas os dois segundos se ainda houvesse um problema . No entanto, embora essa mudança tenha tido muito tempo para se propagar (EDITAR: talvez não, dado o TTL, mas definitivamente parece mais lento do que quando mudei os servidores de nomes entre Amazon e Cloudflare e vice-versa), whatsmydns.net está mostrando que o vasto a maioria dos servidores DNS ainda está retornando todos os 4 servidores de nomes. Não sei por que isso está acontecendo.

O que está acontecendo! Meu site éhttps://www.markfisher.photo.

2 answers

5
Håkan Lindqvist 2020-01-08 10:04.

Dei uma olhada rápida e o principal problema com sua zona parece ser que a delegação da zona pai ( photo) indica que ela markfisher.photodeve ser assinada ( DSregistro presente).

markfisher.photono entanto, não é assinado. O resultado disso é que qualquer resolvedor de validação considerará todas as respostas falsas e as descartará.

Que eu saiba, o Route53 ainda não suporta DNSSEC, o que significa que se você quiser usar esse serviço DNS, você precisa remover todos os DSregistros da delegação (feito por meio de seu registrador).

Demonstração do problema em duas etapas:

$ dig @ns1.uniregistry.net markfisher.photo +norec +dnssec ; <<>> DiG 9.11.13-RedHat-9.11.13-3.fc31 <<>> @ns1.uniregistry.net markfisher.photo +norec +dnssec ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 55361 ;; flags: qr; QUERY: 1, ANSWER: 0, AUTHORITY: 4, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags: do; udp: 4096 ; COOKIE: 60e53f6e7a4d79f37a0879a75e14e274510b02d97b10da1c (good) ;; QUESTION SECTION: ;markfisher.photo. IN A ;; AUTHORITY SECTION: markfisher.photo. 900 IN NS ns-1478.awsdns-56.org. markfisher.photo. 900 IN NS ns-1953.awsdns-52.co.uk. markfisher.photo. 900 IN DS 2371 13 2 B1FB8D1E60D7B54027829321A64B612251F95A41C0F10C912FA9FC6A 9EECEEA5 markfisher.photo. 900 IN RRSIG DS 5 2 900 20200206185213 20200107185213 21795 photo. AN2TWw41LL15uX55vfNaQlHvidlpngYb629gSlEyP+A3JiS77NHO5TvJ gI5QF4si5/haBEoABpuVU8opxxC0Jmv3aD09NkwjZXoqikxDqwjzO/PD wNlvHKOb25fgb1+gKj3JaGvqtAD8m+m2xotmxRo74xPmb2XOvEsGUS25 Cxc= ;; Query time: 94 msec ;; SERVER: 2620:57:4000:1::1#53(2620:57:4000:1::1) ;; WHEN: Tue Jan 07 19:56:36 UTC 2020 ;; MSG SIZE rcvd: 358 $

(referência com DSregistro, indicando que a markfisher.photozona está assinada com a chave correspondente)

$ dig @ns-1478.awsdns-56.org markfisher.photo DNSKEY +norec +dnssec ; <<>> DiG 9.11.13-RedHat-9.11.13-3.fc31 <<>> @ns-1478.awsdns-56.org markfisher.photo DNSKEY +norec +dnssec ; (2 servers found) ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 54714 ;; flags: qr aa; QUERY: 1, ANSWER: 0, AUTHORITY: 1, ADDITIONAL: 1 ;; OPT PSEUDOSECTION: ; EDNS: version: 0, flags:; udp: 4096 ;; QUESTION SECTION: ;markfisher.photo. IN DNSKEY ;; AUTHORITY SECTION: markfisher.photo. 900 IN SOA ns-893.awsdns-47.net. awsdns-hostmaster.amazon.com. 1 7200 900 1209600 86400 ;; Query time: 79 msec ;; SERVER: 2600:9000:5305:c600::1#53(2600:9000:5305:c600::1) ;; WHEN: Tue Jan 07 19:58:44 UTC 2020 ;; MSG SIZE rcvd: 129 $

(resposta do servidor autorizado, mostrando que não há DNSKEYregistros, nem há assinaturas)


Para uma rápida visão geral da delegação DNS, bem como da integridade do DNSSEC, posso recomendar o Dnsviz .

1
Kamil J 2020-01-08 10:11.

a resposta é bastante fácil ... DNSSEC ;-)

Eu verifiquei e há chaves públicas disponíveis para assinatura DNSSEC em nível superior (foto.) Para seu domínio. Isso significa que há DNSSEC habilitado para ele, mas depois de alterar os servidores não há (ou se você quiser - inválido) assinatura DNSSEC ...

Os registros estão tecnicamente corretos, mas não estão passando na verificação de "validade" do DNSSEC. O resultado é que ele é ignorado.

Você tem que (um de):

  • comece a assinar a zona e atualize as chaves públicas na foto. nível de domínio
  • remover as chaves públicas => desativar DNSSEC para a zona

Ambos estão relacionados à sua interface de registro de domínio, pois essas informações não estão localizadas em markfisher.photo. zona, mas foto. zona (delegada em princípio) como registros NS contendo quais servidores seriam usados.

$ dig www.markfisher.photo @9.9.9.9

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> www.markfisher.photo @9.9.9.9
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: SERVFAIL, id: 38974
;; flags: qr rd ra; QUERY: 1, ANSWER: 0, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 512
;; QUESTION SECTION:
;www.markfisher.photo.      IN  A

;; Query time: 305 msec
;; SERVER: 9.9.9.9#53(9.9.9.9)
;; WHEN: Út led 07 21:15:44 CET 2020
;; MSG SIZE  rcvd: 49

... e com verificação de DNSSEC desativada:

$ dig +cdflag www.markfisher.photo @9.9.9.9

; <<>> DiG 9.11.4-P2-RedHat-9.11.4-9.P2.el7 <<>> +cdflag www.markfisher.photo @9.9.9.9
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 26962
;; flags: qr rd ra cd; QUERY: 1, ANSWER: 5, AUTHORITY: 0, ADDITIONAL: 1

;; OPT PSEUDOSECTION:
; EDNS: version: 0, flags:; udp: 4096
;; QUESTION SECTION:
;www.markfisher.photo.      IN  A

;; ANSWER SECTION:
www.markfisher.photo.   298 IN  CNAME   markfisher.photo.
markfisher.photo.   60  IN  A   54.240.168.66
markfisher.photo.   60  IN  A   54.240.168.56
markfisher.photo.   60  IN  A   54.240.168.98
markfisher.photo.   60  IN  A   54.240.168.51

;; Query time: 1770 msec
;; SERVER: 9.9.9.9#53(9.9.9.9)
;; WHEN: Út led 07 21:14:43 CET 2020
;; MSG SIZE  rcvd: 127

MORE COOL STUFF

Cate Blanchett dormiu com o marido depois de 3 dias juntos e ainda está casada com ele 25 anos depois

Cate Blanchett dormiu com o marido depois de 3 dias juntos e ainda está casada com ele 25 anos depois

Cate Blanchett desafiou os conselhos típicos de namoro quando conheceu o marido.

Por que Michael Sheen é um ator sem fins lucrativos

Por que Michael Sheen é um ator sem fins lucrativos

Michael Sheen é um ator sem fins lucrativos, mas o que exatamente isso significa?

Hallmark Star Colin Egglesfield Pratos Emocionantes Encontros de Fãs no RomaDrama Live! [Exclusivo]

Hallmark Star Colin Egglesfield Pratos Emocionantes Encontros de Fãs no RomaDrama Live! [Exclusivo]

A estrela da Hallmark Colin Egglesfield falou sobre emocionantes encontros com fãs no RomaDrama Live! além de seu programa INSPIRE na convenção.

Por que você não pode transmitir 'Exposição do Norte' online

Por que você não pode transmitir 'Exposição do Norte' online

Você terá que tirar o pó de um Blu-ray ou DVD player para ver por que Northern Exposure se tornou um dos programas mais populares dos anos 90.

Where in the World Are You? Take our GeoGuesser Quiz

Where in the World Are You? Take our GeoGuesser Quiz

The world is a huge place, yet some GeoGuessr players know locations in mere seconds. Are you one of GeoGuessr's gifted elite? Take our quiz to find out!

Como a matéria branca ajuda a função da matéria cinzenta do cérebro

Como a matéria branca ajuda a função da matéria cinzenta do cérebro

Todos nós já ouvimos falar da massa cinzenta do cérebro, mas e a massa branca? O que isso faz?

Doe seu cabelo para ajudar a manter nossa água limpa

Doe seu cabelo para ajudar a manter nossa água limpa

Aparas de cabelo de salões e doações pessoais podem ser reaproveitadas como tapetes que absorvem derramamentos de óleo e ajudam a proteger o meio ambiente.

Um olhar sobre os casamentos mais memoráveis ​​da Casa Branca

Um olhar sobre os casamentos mais memoráveis ​​da Casa Branca

Apenas algumas pessoas se casaram na Casa Branca nos últimos 200 anos. Quem eram eles e o que é necessário para marcar um casamento lá?

Esta semana no mercado de trabalho: a verdade na publicidade

Esta semana no mercado de trabalho: a verdade na publicidade

CITAÇÃO | “Recebemos mais de dois milhões de visitantes únicos neste stream para assistir, não sei o quê, nada.” - Todd Howard da Bethesda Game Studios descreve a transmissão ao vivo de 24 horas da empresa de uma estátua do Vault Boy e uma TV com um gráfico “Please Stand By” levando à revelação do teaser Fallout 76.

Wall Street Journal se preocupa com o fato de que profissionais do sexo "ilícitas" prejudicam sites de namoro de milhões de dólares

Wall Street Journal se preocupa com o fato de que profissionais do sexo "ilícitas" prejudicam sites de namoro de milhões de dólares

O Wall Street Journal de hoje tem um artigo sobre o impacto potencialmente negativo da nova lei “anti-tráfico” do nosso país - não sobre as trabalhadoras do sexo, veja bem, mas sobre o grande negócio do namoro online. Sim, a Lei de Permitir que Estados e Vítimas Combatam o Tráfico de Sexo Online (FOSTA) está colocando em risco a subsistência e a vida de profissionais do sexo - mas, ah, alguém não pensará nas empresas multimilionárias? Como o artigo adverte seus leitores conservadores e preocupados com o dinheiro, “O negócio florescente de namoro online enfrenta novos riscos de uma lei projetada para prevenir o tráfico sexual e a prostituição.

O cantor Scott Hutchison do Frightened Rabbit desapareceu

O cantor Scott Hutchison do Frightened Rabbit desapareceu

Scott Hutchison, vocalista da banda indie escocesa Frightened Rabbit, foi relatado como desaparecido por sua família. A BBC relata que ele está atualmente em Edimburgo e a polícia está chegando ao público para obter qualquer informação sobre sua localização.

Me chame de 'Mestre': Ex diz que o ex-procurador-geral de Nova York estava interessado em interpretar papéis racistas durante o sexo

Me chame de 'Mestre': Ex diz que o ex-procurador-geral de Nova York estava interessado em interpretar papéis racistas durante o sexo

O agora ex-procurador-geral de Nova York Eric Schneiderman em 2017 Na segunda-feira, o New Yorker publicou uma exposição de mais de 6.000 palavras sobre o agora ex-procurador-geral de Nova York Eric Schneiderman, na qual pelo menos quatro mulheres em relacionamentos anteriores com ele acusaram a operadora democrata de abuso físico, sexual, verbal e emocional. Horas depois, Schneiderman negou as acusações, mas renunciou ao cargo.

Nicky Hilton Forced to Borrow Paris' 'I Love Paris' Sweatshirt After 'Airline Loses All [My] Luggage'

Nicky Hilton Forced to Borrow Paris' 'I Love Paris' Sweatshirt After 'Airline Loses All [My] Luggage'

Nicky Hilton Rothschild's luggage got lost, but luckily she has an incredible closet to shop: Sister Paris Hilton's!

Carne de porco Mapo de Dawn Burrell e homus de Edamame

Carne de porco Mapo de Dawn Burrell e homus de Edamame

"Esta é uma indústria dominada por homens, e estou feliz por ser uma das pessoas que quebrou o molde para ajudar as mulheres de cor", diz Top Chef: finalista de Portland e chef-parceiro do final de agosto em Houston. "Muitas vezes somos ignorados e às vezes não ensinados, mas isso vai mudar."

Kate Middleton passa um dia à beira da água em Londres, além de Jennifer Lopez, Julianne Hough e mais

Kate Middleton passa um dia à beira da água em Londres, além de Jennifer Lopez, Julianne Hough e mais

Kate Middleton passa um dia na água em Londres, além de Jennifer Lopez, Julianne Hough e muito mais. De Hollywood a Nova York e em todos os lugares, veja o que suas estrelas favoritas estão fazendo!

Jovem de 17 anos esfaqueado até a morte enquanto outros 4 ficaram feridos em um ataque de faca no rio Wisconsin

Jovem de 17 anos esfaqueado até a morte enquanto outros 4 ficaram feridos em um ataque de faca no rio Wisconsin

Investigadores estão investigando se o grupo e o suspeito se conheciam antes do ataque

Aterrissagens na pista

Aterrissagens na pista

O final do verão e o outono são estações nostálgicas. Os postes de luz lançam sua luz sobre as ruas escorregadias pela chuva, e as folhas sob os pés – vermelho-alaranjado nas sombras do crepúsculo – são um lembrete de dias passados.

Imagine criar uma estratégia de conteúdo que realmente CONVERTE. É possível.

Imagine criar uma estratégia de conteúdo que realmente CONVERTE. É possível.

Em 2021, encorajo você a repensar tudo o que sabe sobre os clientes que atende e as histórias que conta a eles. Dê um passo para trás.

Uma perda gigantesca abriu meu coração para o amor

Uma perda gigantesca abriu meu coração para o amor

No dia do aniversário de 9 anos de Felix The Cat, lembro-me de uma das maiores perdas da minha vida adulta – minha Sophie em 2013. Escrevi este ensaio e o compartilhei brevemente nesta plataforma em 2013.

Quando você não pode ser a pessoa que a internet quer que você seja

Quando você não pode ser a pessoa que a internet quer que você seja

Odeio a palavra “naufrágio”. As pessoas se confortam em sua própria bússola moral e, ao fazê-lo, encontram-se julgando.

Language