Ferramentas de Diagnóstico de Rede

Diagnóstico de DNS

Um relatório completo de delegação e DNS

esc
Seu IP 8.8.8.8 ou google.com

DNS e Registros

Consulta DNS Todos os registros DNS de qualquer domínio Consulta de Registro A Endereços IPv4 de um domínio Consulta de Registro AAAA Endereços IPv6 de um domínio Consulta MX Servidores de e-mail de um domínio Consulta NS Servidores de nomes autoritativos Consulta TXT Registros TXT, SPF, verificação Consulta CNAME Registros de nome canônico (alias) Consulta SOA Registro Start of Authority Consulta SRV Registros de localização de serviço Consulta CAA Quais ACs podem emitir certificados DNS Reverso (PTR) Endereço IP para hostname Verificação DNSSEC O domínio está assinado e validado? Diagnóstico de DNS Um relatório completo de delegação e DNS

Entregabilidade de E-mail

Verificação SPF Valide seu registro Sender Policy Framework Verificação DMARC Inspecione e avalie sua política DMARC Verificação DKIM Encontre e valide sua chave pública DKIM Verificação de Blacklist Verifique um IP em listas de bloqueio de e-mail (DNSBLs) Teste SMTP Conecte-se a um servidor de e-mail e verifique o STARTTLS Verificação MTA-STS Política de TLS obrigatório para e-mail de entrada Verificação BIMI Registro de logotipo da marca para e-mail Verificação TLS-RPT Política de relatórios de TLS do SMTP

Rede e Web

Verificação de Certificado SSL Inspecione o certificado TLS e a validade de um site Verificação de Cabeçalhos HTTP Inspecione cabeçalhos de resposta, redirecionamentos e segurança Ping (TCP) Acessibilidade e latência por TCP Verificação de Portas Quais portas comuns estão abertas

Domínio

Consulta WHOIS Dados de registro de domínios, IPs e ASNs

O que é um diagnóstico de DNS?

Um diagnóstico de DNS inspeciona como um domínio está delegado e configurado de ponta a ponta, não apenas um tipo de registro. Ele pergunta aos servidores do pai (o TLD) o que publicam sobre seu domínio, depois pergunta diretamente aos seus próprios servidores de nomes e compara os dois. As divergências entre o pai e seus servidores — glue ausente, listas de NS que não coincidem, seriais SOA fora de sincronia, servidores lame ou com recursão aberta — são exatamente os problemas que causam um DNS lento, intermitente ou silenciosamente quebrado. O IPeek executa cada verificação e diz, em linguagem clara, por que cada uma importa e como corrigi-la.

Delegação do pai, glue e a cadeia que encontra seu domínio

Cada consulta ao seu domínio começa na zona pai — o registro do TLD (por exemplo .br ou .com) — que guarda os registros NS que apontam os resolvedores para seus servidores de nomes. Se esses servidores ficam dentro do seu próprio domínio, o pai também precisa publicar seus endereços IP como "glue", caso contrário os resolvedores enfrentam um impasse do ovo e da galinha. Uma delegação saudável tem o pai e seus próprios servidores concordando no mesmo conjunto de NS, com glue presente onde for necessário. Quando divergem, alguns resolvedores seguem informações desatualizadas e suas alterações parecem funcionar para alguns usuários, mas não para outros.

Saúde dos servidores de nomes: redundância, autoridade e recursão

A RFC 2182 recomenda múltiplos servidores de nomes em redes diferentes para que uma única queda nunca tire seu domínio do ar. Cada um deve responder de forma autoritativa pela sua zona — um servidor "lame" que não faz isso é uma falha de confiabilidade silenciosa. Seus servidores autoritativos também devem recusar recursão a estranhos: um servidor recursivo aberto pode ser abusado para envenenamento de cache e amplificação de DDoS. O IPeek consulta cada um dos seus servidores de nomes diretamente para confirmar que respondem, que respondem de forma autoritativa, que concordam entre si, que suportam TCP e que mantêm a recursão fechada.

Coerência de SOA, MX e domínio raiz

O registro SOA carrega o número de série da sua zona e seus valores de temporização; cada servidor de nomes deve reportar o mesmo serial, ou sua zona está fora de sincronia e as alterações se propagam de forma desigual. O serial deve seguir a convenção YYYYMMDDnn, e os temporizadores refresh/retry/expire/minimum devem ficar dentro das faixas recomendadas pelas RFCs. Do lado do correio, os registros MX devem ser nomes de host (nunca IPs avulsas ou CNAMEs) que resolvam para endereços públicos. Por fim, o domínio raiz (seu domínio sem prefixo) deve publicar um endereço, mas não um CNAME, que a RFC 1912 proíbe ao lado de outros registros.

Perguntas frequentes

Como isso é diferente de uma consulta DNS normal?

Uma consulta DNS mostra os registros como vistos através de um resolvedor recursivo. Um diagnóstico vai além: consulta os servidores do TLD pai e cada um dos seus próprios servidores de nomes diretamente, e depois os compara. Isso permite detectar problemas de delegação que uma consulta simples esconde — glue ausente, divergências de NS entre pai e filho, servidores lame ou em desacordo, e seriais SOA fora de sincronia.

O que é glue e por que um registro glue ausente importa?

Glue é o endereço IP de um servidor de nomes, publicado pela zona pai junto ao registro NS. É obrigatório quando seus servidores de nomes estão dentro do mesmo domínio que servem (por exemplo ns1.exemplo.com servindo exemplo.com), porque os resolvedores precisariam, de outra forma, resolver o servidor de nomes antes de poder resolver qualquer coisa. Glue ausente nesse caso quebra a resolução; se seus servidores de nomes estão em outro domínio, o glue é opcional e apenas economiza uma consulta extra.

Por que meus servidores de nomes não devem permitir recursão?

Servidores de nomes autoritativos devem responder apenas pelas zonas que hospedam. Um servidor de nomes que faz recursão para qualquer um (um "resolvedor aberto") pode ser abusado para ataques de amplificação DDoS e fica mais exposto ao envenenamento de cache. Se o diagnóstico sinalizar recursão aberta, desative a recursão no servidor autoritativo ou separe os papéis autoritativo e recursivo em hosts diferentes.

O que significa se meus servidores de nomes divergem no serial SOA?

O serial SOA é um número de versão da sua zona. Quando seus servidores de nomes reportam seriais diferentes, pelo menos um está servindo dados desatualizados — geralmente um secundário que falhou em transferir a zona mais recente do primário. O resultado são respostas inconsistentes dependendo de qual servidor um resolvedor acaba consultando. Verifique as transferências de zona (AXFR/IXFR), a configuração NOTIFY do primário e o temporizador refresh do SOA.

Um único registro MX ou dois servidores de nomes são um problema?

Nenhum é um erro, mas ambos são pontos únicos de falha. Com um só MX, o correio pode ser perdido se aquele servidor ficar fora do ar por tempo suficiente; um MX de backup adiciona resiliência. Dois servidores de nomes é aceitável segundo a RFC 2182, mas três ou mais em redes diferentes é mais seguro. O diagnóstico sinaliza esses casos como avisos, não como falhas — vale a pena melhorá-los, não são emergências.

Ferramentas relacionadas

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어