Článek přečtěte do 4 min.

Protokolování odpovědí privátního DNS OCI je spuštěno

Systém doménových jmen (DNS) je často přehlížená, ale klíčová součást každého úspěšného nasazení cloudu. Společnost Oracle Cloud Infrastructure (OCI) s potěšením oznamuje, že spouští protokolování odpovědí privátního DNS.

Odpovědi na dotazy DNS pomáhají spravovat složitost sítí nahrazováním IP adres známějšími názvy, například www.oracle.com. Tato funkce pomáhá zaznamenávat přijaté dotazy a odpovědi spolu s některými souvisejícími telemetrickými daty, protože zdroje ve vašem prostředí OCI odesílají dotazy na koncové body resolveru DNS sítě Virtual Cloud Network (VCN).

Proč potřebujeme protokolování odpovědí DNS?

Když dojde k problémům s aplikacemi, DNS je často jednou z prvních věcí, které je třeba prošetřit. Ať už je DNS chybně obviněn nebo rychle přehlédnut, řádné prošetření DNS se může ukázat jako nezbytné pro efektivní řešení problémů. Pokud jste slyšeli frázi „obrázky, nebo se to nestalo“, OCI vám nyní poskytuje „obrázky vašeho DNS“, které vám poskytnou přehled o rozlišení DNS pro vaše cloudové zdroje.

Abyste v minulosti dosáhli této úrovně přehledu, museli jste možná povolit protokolování DNS klientů v instancích nebo případně otevřít tiket u podpory Oracle, abyste získali přístup k protokolům DNS. Tato řešení bohužel mohou být neúplná nebo časově náročná. Tato nová funkce protokolování odpovědí DNS pomůže s prošetřováním odpovědí na dotazy DNS, což pomůže identifikovat problémy a potenciálně zkrátit dobu potřebnou k jejich vyřešení.

Případy použití

Existuje mnoho důvodů, proč byste mohli chtít mít data protokolu odpovědí DNS, například pro vyhledávání hrozeb, monitorování zabezpečení, řešení problémů, audit a dodržování předpisů, využití a statistické monitorování, abychom jmenovali alespoň některé. Dva nejběžnější případy použití jsou zabezpečení a řešení problémů.

DNS protokoly pro vyhledávání bezpečnostních hrozeb

Jedním z běžných použití analýzy DNS protokolů je vyhledávání bezpečnostních hrozeb. DNS protokoly odpovědí lze použít ve spojení s daty o hrozbách DNS k identifikaci indikátorů kompromitace (IOC). DNS protokolování může pomoci identifikovat některé bezpečnostní problémy, jako například:

  • Nalezení útoku typu „man-in-the-middle“ (MITM) nebo únosu odpovědí DNS.
  • Identifikace tunelování DNS za účelem skrytí komunikace Command and Control (C2).
  • Sledování indikací komunikace C2 pomocí dynamického rozlišení s automaticky generovanými doménovými jmény malwarem.
  • Hledání aktivity DNS naznačující komunikaci s rizikovými doménami nebo klamavými doménami používanými při phishingových útocích.

Protokoly DNS při řešení problémů

Ať už je DNS skutečným problémem, či nikoli, měl by být DNS včas zvážen při řešení problémů s výkonem a stabilitou aplikací. Není neobvyklé, že se problém, který vypadá jako výpadek sítě, je ve skutečnosti důsledkem nesprávné konfigurace DNS resolveru nebo dlouhé doby odezvy na dotazy DNS. Pokud je například aplikace závislá na serveru označeném jako „api.sourcedata.com“ a servery domény „sourcedata.com“ mají problémy, může to vypadat, že se jedná o problém se sítí. Rychlá kontrola protokolů odpovědí DNS může ukázat, že všechny odpovědi pro danou doménu vracejí NXDOMAIN (neboli neexistující doménu). V takovém případě se řešení problémů se sítí může zastavit, protože cíl řešení problémů se nyní přesune na odpovědi DNS z dané domény.

Jak pracovat s protokoly odpovědí privátního DNS

Klíčové schopnosti

Povolení soukromých protokolů odpovědí DNS vám umožní zaznamenávat a kontrolovat záznamy související s dotazy DNS provedenými prostřednictvím privátního resolveru DNS nakonfigurovaného ve virtuální cloudové síti (VCN) ve vaší službě OCI. To vám umožní procházet a vyhledávat v odpovědích DNS na základě jakýchkoli dat v záznamu, jako jsou chybové kódy, kódy odpovědí, latence atd.

Povolení protokolování odpovědí privátního DNS v konzoli OCI

Chcete-li povolit protokolování odpovědí DNS, přejděte v konzoli do virtuálních cloudových sítí a vyberte VCN, u které chcete povolit protokolování odpovědí DNS. Na stránce s podrobnostmi o VCN klikněte na DNS Resolver, který se nachází v dolní části podokna s podrobnostmi.

Jakmile se nacházíte na stránce DNS Resolver, v sekci Zdroje klikněte na Protokoly. Zde uvidíte položku Protokoly odpovědí na dotazy. Položka bude mít přepínač, který je ve výchozím nastavení nastaven na hodnotu „Nepovoleno“.

Klikněte na přepínač „Povolit protokolování“. Zobrazí se vyskakovací okno s možností vyplnit podrobnosti o nastavení protokolování a poté klikněte na Povolit protokolování. Krátce poté uvidíte, že protokolování bylo aktivováno. Protože se jedná o přepínač, můžete protokolování pro daný resolver kdykoli zakázat.

Povolení protokolování odpovědí DNS
Obrázek 1: Povolení protokolování odpovědí DNS

Prozkoumání protokolů odpovědí DNS

Po povolení protokolů můžete začít prohlížet data. V konzoli přejděte do sekce Sledovatelnost a správa -> Protokolování -> Protokoly. Zobrazí se seznam protokolů, včetně protokolů odpovědí DNS. Kliknutím na protokoly spusťte prohlížení protokolů.

Úvodní obrazovka Prozkoumat protokol vám umožní zobrazit protokoly v histogramu, který můžete třídit podle nejnovějšího nebo nejstaršího a filtrovat podle času. Ve výchozím nastavení se v seznamu odpovědí DNS, který lze rozbalit a zobrazit data jednotlivých záznamů, zobrazují protokoly za posledních 5 minut.

Následující příklad byl DNS dotaz z instance s IP adresou 10.100.0.59 (pole source), který požadoval „isc.org“ (pole qname) a obdržel odpověď se čtyřmi záznamy A: „151.101.66.271, 151.101.194.217, 151.101.130.217 a 151.101.2.217“ (pole answer) s latencí odezvy 95 milisekund (pole latence).

Poznámka: Pokud používáte jednovrstvý IPv6 protokol, cílová adresa zobrazí adresu IPv6.
Ukázkový záznam protokolu odpovědí DNS
Obrázek 2: Ukázkový záznam protokolu odpovědí DNS

Pokud chcete provést pokročilejší prozkoumání, klikněte na Akce -> Prozkoumat s vyhledáváním v protokolu. Vyhledávání v protokolu vám umožňuje filtrovat konkrétní prvky dat, která hledáte. Můžete například vyhledávat konkrétní domény, plně kvalifikované názvy domén, kódy odpovědí (například NXDOMAIN), chybové kódy nebo dokonce dotazy typu „zobrazit odpovědi, kde latence je > 100“ (latence je vyjádřena v počtu milisekund, které trvalo přijetí odpovědi).

Poznámka: Odpovědi uložené v mezipaměti nezaznamenáváme.

Zjistěte více

Chcete-li se dozvědět více, přečtěte si dokumentaci OCI o protokolování privátního DNS.

Všechna logovací zařízení OCI lze propojit s nástrojem Service Connector Hub a OCI Logging Analytics. Pro další informace, nás neváhejte kontaktovat.

Zdroj: Oracle