網絡團隊的 5 個 DNS 故障排除技巧

DNS 是網絡堆棧中一個關鍵但經常被忽略的元件。監控 DNS 查詢異常可以幫助您檢測和糾正潛在問題。

“一勞永逸”是大多數網絡團隊在其權威域名系統 (DNS)中遵循的方法。如果系統正常工作并且最終使用者找到了與創收應用程式、服務和内容的網絡連接配接，那麼管理者通常會說你不應該成功。

不幸的是，DNS 的可靠性常常讓我們認為這是理所當然的。很容易将 DNS 作為背景服務登出，因為它的性能非常好。然而，這種非常“一勞永逸”的政策常常讓性能和可靠性問題得不到診斷，進而給網絡團隊造成盲點。當這些未診斷的問題堆積起來或暫時未得到解決時，它們很容易轉移為更重要的網絡性能問題。

事實上，與任何機器或系統一樣，DNS 需要偶爾進行調整。即使它運作良好，也需要注意特定的 DNS 錯誤，這樣小問題就不會爆發為更重要的問題。

我想就網絡團隊在解決 DNS 問題時要尋找的内容分享一些建議。

設定基準 DNS 名額

沒有兩個網絡配置相同。沒有兩個網絡具有相同的性能配置檔案。每個網絡都有使其獨一無二的怪癖和特點。這就是為什麼在診斷任何問題之前了解網絡的“正常”情況很重要的原因。

DNS 資料可以讓您了解一段時間内的平均查詢量。對于大多數企業來說，這将是一個相對穩定的數字。可能會有季節性變化（尤其是在零售等行業），但這些通常是可以預測的。随着客戶群或服務量的增長，大多數企業會看到查詢量逐漸增加，但這通常也遵循既定模式。

檢視查詢量的組合也很重要。您的大部分 DNS 流量是否流向特定域？各種後端資源之間的 DNS 查詢組合有多穩定（或多變）？這些問題的答案對于每個企業都是不同的，并且可能會根據網絡團隊對負載平衡、産品資源和傳遞成本等問題的決策而改變。

監控 NXDOMAIN 響應

NXDOMAIN 響應清楚地表明出現了問題。對于“胖手指”查詢、标準重定向錯誤和可能超出網絡團隊控制範圍的使用者端問題，至少傳回一些 NXDOMAIN 是正常的。

IBM 公司最近的全球 DNS 資料報告NS1顯示，出于某種原因，3-6% 的 DNS 查詢會收到 NXDOMAIN 響應。在“正常”網絡設定中，可能會出現處于或接近該範圍的任何情況。

當您超過兩位數時，可能會發生更大的事情。不過，模式的性質很重要。NXDOMAIN 響應緩慢但穩定地增加可能是一個長期存在的錯誤配置問題，它模拟了整體流量。NXDOMAIN 的突然激增可能是本地化（但影響很大）的錯誤配置或 DDoS 攻擊。

關鍵是要密切關注 NXDOMAIN 響應占整體查詢量的百分比。偏離規範通常是某事不對的明顯标志——然後就變成了為什麼不對以及如何解決它的問題。在大多數情況下，更深入地研究異常上升的時間和特征将提供有關其發生原因的線索。

NXDOMAIN 響應并不總是壞事。事實上，它們可能代表着潛在的商機。如果有人試圖查詢您的域或子域，但結果是空的，這可能表明您應該購買或開始使用該域。

注意内部 DNS 資料的暴露

一種特别令人擔憂的 NXDOMAIN 響應類型是由将内部 DNS 區域和記錄資料暴露到網際網路的錯誤配置引起的。這種錯誤配置不僅會産生不必要的查詢量，進而影響性能，而且還是一個嚴重的安全問題。

陳舊的 URL 重定向通常是暴露内部記錄的原因。在合并或收購的劇變中，系統有時會指向逐漸消失或被重新用于其他用途的屬性。系統仍在公開尋找舊連接配接，但沒有找到預期的答案。工作量越小，就越有可能被忽視。

注意地理

如果您為流量的來源設定标準基線，就可以更輕松地發現異常DDoS 攻擊、錯誤配置，甚至在它們出現時發現更廣泛的使用模式變化。特定區域伺服器的流量突然增加與整體查詢量的更廣泛增加是不同類型的問題。按地理位置跟蹤您的 DNS 資料有助于确定您面臨的問題，并最終提供有關如何處理它的線索。

檢查 SERVFAIL 是否配置錯誤的别名記錄

别名記錄是錯誤配置的常見來源，它們本身就值得定期審計。我發現 SERVFAIL 響應的增加——無論是突然激增還是逐漸增加——通常可以追溯到别名記錄的問題。

沒有錯誤資料？考慮 IPv6

NXDOMAIN 的響應非常簡單——沒有找到記錄。當您看到傳回的響應為 NOERROR 時，事情變得有點微妙，但您也看到沒有傳回任何答案。雖然沒有針對這種情況的官方 RFC 代碼，但當應答計數器傳回“0”時，通常稱為 NOERROR NODATA 響應。NOERROR NODATA 表示已找到記錄，但它不是應該存在的記錄類型。

如果您看到很多 NOERROR NODATA 響應，根據我們的經驗，解析器通常正在尋找 AAAA 記錄。如果您收到大量 NOERROR NODATA 響應，我發現添加對 IPv6 的支援通常可以解決問題。

DNS 基數和安全隐患

在 DNS 的世界裡，有兩種類型的基數需要擔心。解析器基數是指查詢您的 DNS 記錄的解析器數量。查詢名稱基數是指您每分鐘收到查詢的不同 DNS 名稱的數量。

測量 DNS 基數很重要，因為它可能訓示惡意活動。具體來說，DNS 查詢名稱基數的增加可能表示随機标簽攻擊或大規模探測您的基礎設施。解析器基數的增加可能表明您正成為僵屍網絡的目标。如果您突然發現解析器基數增加，則可能表明存在某種攻擊。

結論

這些訓示應該可以幫助您更好地了解 DNS 查詢行為的影響以及您可以采取的一些步驟來使您的 DNS 處于健康狀态。歡迎在下方評論您在整個職業生涯中學到的任何其他技巧。

源位址：              https://baijiahao.baidu.com/s?id=1762750479108767619&wfr=spider&for=pc           

 騰訊雲伺服器3年408複制連結或者點閱讀原文       
     
https://url.cn/0LMFe5AG           
   

波哥

IT行業近二十年的IT老炮。常年潛伏于國企、各一二線大廠中。硬體內建入行，直至虛拟技術、容器化。崗位曆經系統內建、DBA、全棧開發、sre、項目經理、産品經理、部門總監。

主要作品：

• IT類資源彙聚門戶：https://www.98dev.com
• 各大短視訊平台：98dev
• 各大主要技術論壇部落格：IT運維技術圈
• 長視訊教學作品：《波哥講網絡》《波哥講git》《波哥講gitlab》
• 小程式：IT面試精選
• 建構技術社群：+V itboge1521 入學習交流群