Инструменты сетевой диагностики

Проверка здоровья DNS

Полный отчёт о делегировании и состоянии DNS

esc
Ваш IP 8.8.8.8 или google.com

DNS и записи

Поиск DNS Все записи DNS для любого домена Поиск записи A Адреса IPv4 для домена Поиск записи AAAA Адреса IPv6 для домена Поиск MX Почтовые серверы домена Поиск NS Авторитетные серверы имён Поиск TXT Записи TXT, SPF, верификация Поиск CNAME Записи канонического имени (псевдонима) Поиск SOA Запись Start of Authority Поиск SRV Записи расположения сервисов Поиск CAA Какие УЦ могут выпускать сертификаты Обратный DNS (PTR) IP-адрес в имя хоста Проверка DNSSEC Подписан ли домен и проходит ли валидацию? Проверка здоровья DNS Полный отчёт о делегировании и состоянии DNS

Доставляемость почты

Проверка SPF Проверьте вашу запись Sender Policy Framework Проверка DMARC Изучите и оцените вашу политику DMARC Проверка DKIM Найдите и проверьте ваш открытый ключ DKIM Проверка чёрных списков Проверьте IP по почтовым блок-листам (DNSBL) Тест SMTP Подключение к почтовому серверу и проверка STARTTLS Проверка MTA-STS Принудительная политика TLS для входящей почты Проверка BIMI Запись логотипа бренда для почты Проверка TLS-RPT Политика отчётности SMTP TLS

Сеть и веб

Проверка сертификата SSL Изучите сертификат TLS сайта и срок его действия Проверка HTTP-заголовков Изучите заголовки ответа, редиректы и безопасность Пинг (TCP) Доступность и задержка по TCP Проверка портов Какие распространённые порты открыты

Домен

Поиск WHOIS Регистрационные данные для доменов, IP и ASN

Что такое проверка здоровья DNS?

Проверка здоровья DNS изучает, как домен делегирован и настроен от начала до конца, а не только один тип записей. Она спрашивает у родительских серверов (TLD), что они публикуют для вашего домена, затем напрямую опрашивает ваши собственные серверы имён и сравнивает оба ответа. Расхождения между родителем и вашими серверами — отсутствующий glue, несовпадающие списки NS, рассинхронизированные серийные номера SOA, lame-серверы или серверы с открытой рекурсией — это именно те проблемы, которые делают DNS медленным, нестабильным или незаметно сломанным. IPeek выполняет каждую проверку и понятным языком объясняет, почему она важна и как устранить проблему.

Делегирование от родителя, glue и цепочка, которая находит ваш домен

Любой запрос к вашему домену начинается с родительской зоны — реестра TLD (например, .es или .com), — которая хранит записи NS, направляющие резолверы к вашим серверам имён. Если эти серверы имён находятся внутри вашего же домена, родитель должен также публиковать их IP-адреса в виде «glue», иначе резолверы попадают в замкнутый круг по принципу «курица или яйцо». При здоровом делегировании родитель и ваши собственные серверы согласуются по одному и тому же набору NS, а glue присутствует там, где это нужно. Когда они расходятся, часть резолверов следует за устаревшими данными, и ваши изменения работают для одних пользователей, но не для других.

Здоровье серверов имён: избыточность, авторитетность и рекурсия

RFC 2182 рекомендует несколько серверов имён в разных сетях, чтобы единичный сбой никогда не уводил ваш домен в офлайн. Каждый из них должен авторитетно отвечать за вашу зону — «lame»-сервер, который этого не делает, представляет собой скрытую брешь в надёжности. Ваши авторитетные серверы также должны отказывать в рекурсии посторонним: открытый рекурсивный сервер имён может быть использован для отравления кэша и DDoS-усиления. IPeek опрашивает каждый из ваших серверов имён напрямую, чтобы убедиться, что они отвечают, отвечают авторитетно, согласуются друг с другом, поддерживают TCP и держат рекурсию закрытой.

Проверка корректности SOA, MX и apex

Запись SOA несёт серийный номер вашей зоны и значения таймеров; каждый сервер имён должен сообщать один и тот же серийный номер, иначе ваша зона рассинхронизирована и изменения распространяются неравномерно. Серийный номер должен следовать соглашению YYYYMMDDnn, а таймеры refresh/retry/expire/minimum должны находиться в рекомендованных RFC диапазонах. Что касается почты, записи MX должны быть именами хостов (никогда не «голыми» IP или CNAME), которые разрешаются в публичные адреса. Наконец, apex (ваш «голый» домен) должен публиковать адрес, но не CNAME, который RFC 1912 запрещает рядом с другими записями.

Часто задаваемые вопросы

Чем это отличается от обычного DNS-запроса?

DNS-запрос показывает записи такими, какими их видит рекурсивный резолвер. Проверка здоровья идёт дальше: она напрямую опрашивает родительские серверы TLD и каждый из ваших собственных серверов имён, а затем сравнивает их. Это позволяет ловить проблемы делегирования, которые обычный запрос скрывает, — отсутствующий glue, расхождения NS между родителем и дочерней зоной, lame-серверы или серверы, не согласующиеся друг с другом, и рассинхронизированные серийные номера SOA.

Что такое glue и почему отсутствие записи glue важно?

Glue — это IP-адрес сервера имён, публикуемый родительской зоной рядом с записью NS. Он необходим, когда ваши серверы имён находятся внутри того же домена, который они обслуживают (например, ns1.example.com обслуживает example.com), потому что иначе резолверам пришлось бы сначала разрешить сам сервер имён, прежде чем разрешать что-либо ещё. Отсутствующий glue в этом случае ломает разрешение; если же ваши серверы имён находятся в другом домене, glue необязателен и лишь экономит один дополнительный запрос.

Почему мои серверы имён не должны разрешать рекурсию?

Авторитетные серверы имён должны отвечать только за зоны, которые они обслуживают. Сервер имён, выполняющий рекурсию для кого угодно («открытый резолвер»), может быть использован для DDoS-атак с усилением DNS и более уязвим к отравлению кэша. Если проверка здоровья отмечает открытую рекурсию, отключите рекурсию на авторитетном сервере или разделите авторитетную и рекурсивную роли по разным хостам.

Что означает, если мои серверы имён расходятся в серийном номере SOA?

Серийный номер SOA — это номер версии вашей зоны. Когда ваши серверы имён сообщают разные серийные номера, по меньшей мере один отдаёт устаревшие данные — обычно это вторичный сервер, которому не удалось получить последнюю версию зоны с первичного. В результате ответы оказываются несогласованными в зависимости от того, на какой сервер попадёт резолвер. Проверьте передачи зоны (AXFR/IXFR), настройки NOTIFY на первичном сервере и таймер refresh в SOA.

Проблема ли одна запись MX или два сервера имён?

Ни то, ни другое не является ошибкой, но оба представляют собой единую точку отказа. С одной записью MX почта может быть потеряна, если этот сервер достаточно долго недоступен; резервный MX повышает устойчивость. Два сервера имён допустимы согласно RFC 2182, но три и более в разных сетях безопаснее. Проверка здоровья отмечает это как предупреждения, а не сбои — это стоит улучшить, но не является чрезвычайной ситуацией.

Связанные инструменты

Deutsch | English | Español | Français | Italiano | Português | Русский | Українська | 日本語 | 简体中文 | 한국어