Виджет "Расширенные DNS-ошибки"

В виджете представлено количество DNS-запросов по расширенным DNS-ошибкам за выбранный период.

Расширенные DNS-ошибки предоставляют дополнительную информацию о причинах сбоя DNS-запроса или удаления ресурсных записей из DNS-ответа.

Расширенные DNS-ошибки, специфичные только для BI.ZONE Secure DNS:

  • FQDN in BlackList — домен находится в черном списке FQDN или черном списке регулярных выражений.

  • IoC from TI — для домена обнаружены IoC в базе TI.

  • Tunnel Detection — сработала политика Anti DNS Tunnel. Домен участвует в построении DNS-туннеля.

  • DNS Rebinding — сработала политика Anti DNS Rebinding. "Серые" IP-адреса удалены из ресурсных записей.

  • Source IP Blocked by ACL — IP-адрес источника DNS-запроса указан в Access Control List как запрещенный.

  • DNS Spoofing — обнаружен спуфинг DNS-ответа. DNS-запрос заблокирован.

  • Iterator Query Timeout — превышен интервал взаимодействия с вышестоящим сервером (резолвером или авторитативным).

  • Query with Type ANY Blocked — заблокирован DNS-запрос с типом ANY.

  • DDoS Servfail — сработала политика Anti DDoS Servfail. Заблокирована массовая отправка DNS-запросов (DDoS).

  • IP in TI — сработала политика TI для IP. IP-адреса обнаружены в базе TI. Они удаляются из DNS-ответа.

  • IP in BlackList — сработала политика "Черный список IP-адресов". IP-адрес обнаружен в черном списке IP-адресов.

  • IP Rate Limit — сработала политика IP Rate Limit. Превышен лимит запросов с одного IP-адреса.

  • DGA Filtered — сработала политика Anti DGA. Обнаружены признаки того, что домен сгенерирован алгоритмом.

  • Web Category Filtered — сработала политика Web Сategory. DNS-запрос обработан в зависимости от веб-категории домена.

  • Too Many Queries from IP — от IP-адреса получено большое количество DNS-запросов, по которым не приходят ответы более 4 секунд.

Также существуют стандартные расширенные DNS-ошибки:

  • Other — произошла ошибка, которую сервер не может отнести к какой-либо конкретной категории ошибок.

  • Unsupported DNSKEY Algorithm — DNS-резолвер или DNS-сервер не может обработать запись DNSKEY, потому что используется неподдерживаемый DNSSEC алгоритм.

  • Unsupported DS Digest Type — DNS-резолвер не может проверить DNSSEC-защиту домена из-за неподдерживаемого типа хэширования в DS-записи (Delegation Signer).

  • Stale Answer — DNS-сервер вернул устаревший (истёкший по времени жизни) ответ на запрос, потому что не смог получить актуальные данные от вышестоящего сервера.

  • Forged Answer — DNS-сервер отправил поддельный DNS-ответ вместо реального. Это может быть сделано для фильтрации или блокировки трафика, а также защиты пользователей.

  • DNSSEC Indeterminate — DNS-резолвер не может определить, защищён ли DNS-ответ с помощью DNSSEC, т.к. у него нет информации о подписях или цепочке доверия.

  • DNSSEC Bogus — ошибка проверки DNSSEC. DNS-резолвер обнаружил недействительную или нарушенную подпись DNSSEC (RRSIG).

  • Signature Expired — DNS-резолвер проверил подпись DNSSEC (RRSIG) и обнаружил, что срок ее действия истек.

  • Signature Not Yet Valid — подпись DNSSEC (RRSIG) уже существует, но срок ее действия еще не начался.

  • DNSKEY Missing — в родительской зоне найдена DS-запись (Delegation Signer), которая указывает на то, что домен должен быть защищён через DNSSEC. Однако в самой дочерней зоне не оказалось нужного ключа (DNSKEY), чтобы подтвердить эту защиту.

  • RRSIGs Missing — в DNS-ответе отсутствуют необходимые записи RRSIG (Resource Record Signature), чтобы проверить его подлинность через DNSSEC.

  • No Zone Key Bit Set — в записи DNSKEY отсутствует бит, указывающий на использование ключа для подписи зоны. Из-за этого невозможно использовать DNSSEC для защиты зоны.

  • NSEC Missing — DNS-сервер отвечает, что записи нет (например, возвращает код DNS-ответа NXDOMAIN), но не прикладывает запись NSEC/NSEC3, которая подтверждает, что такой записи действительно не существует.

  • Cached Error — DNS-резолвер вернул старую ошибку из кэша, а не попытался повторно обратиться к авторитетному серверу.

  • Not Ready — DNS-резолвер или DNS-сервер ещё не готов обработать DNS-запрос.

  • Blocked — DNS-запрос намеренно заблокирован DNS-резолвером, например, по политике фильтрации, спискам блокировок или настройкам безопасности.

  • Censored — DNS-запрос отклонён или изменён в результате внешней цензуры (со стороны провайдера или государства), а не по решению самого DNS-сервера.

  • Filtered — DNS-сервер не может ответить на запрос, потому что домен находится в списке блокировки по запросу заказчика.

  • Prohibited — DNS-запрос от "неавторизованного" клиента, например, от недоверенного или заблокированного IP-адреса.

  • Stale NXDOMAIN Answer — резолвер не смог получить ответ за указанное время и вернул ранее закэшированный ответ NXDOMAIN вместо того, чтобы сообщить об ошибке.
    Это может происходить, например, из-за проблем при взаимодействии с авторитетным сервером — возможно, в результате DOS-атаки на другую сеть.

  • Not Authoritative — DNS-сервер не может дать окончательный ответ по запросу, потому что он не является авторитетным для этой зоны.

  • Not Supported — запрошенная операция или DNS-запрос не поддерживается.

  • No Reachable Authority — резолвер не смог связаться ни с одним из авторитетных DNS-серверов (или они отказались отвечать).

  • Network Error — при попытке резолвера (или сервера) обратиться к другому DNS-серверу произошла критическая сетевая ошибка.

  • Invalid Data — авторитетный сервер не может ответить, потому что данные зоны, которую он обслуживает, повреждены, устарели или недействительны.

Шаг времени на графике зависит от периода, выбранного в фильтре статистики. Например, при выборе периода в 1 месяц шаг времени будет равен 1 суткам.

В правом блоке представлена подробная информация для выбранных расширенных ошибок:

  • Последняя точка — количество DNS-запросов в последней точке, отображенной на графике. Значения в этом столбце меняются в зависимости от выбранной единицы измерения. Если выбрано Количество DNS-запросов в секунду (QPS), то значения отображаются в запросах в секунду (queries per second, QPS). Если выбрано Количество DNS-запросов, то отображается общее количество DNS-запросов в последней точке на графике.

  • Cреднеe, QPS — среднее количество DNS-запросов в секунду за выбранный период. Если шаг времени на графике равен 1 суткам, то Cреднеe, QPS за месяц — это Всего разделить на количество суток в месяце.

  • Всего — общее количество DNS-запросов за выбранный период.

Если вы измените единицу измерения в настройках виджета, в легенде графика изменятся только значения в столбце Последняя точка. В столбце Среднее, QPS всегда отображаются значения в DNS-запросах в секунду (QPS). В столбце Всего всегда отображается общее количество DNS-запросов.

Настройка виджета "Расширенные DNS-ошибки"

  1. На вкладке Статистика нажмите в правом верхнем углу виджета.

  2. Выберите расширенные ошибки, которые будут отображаться на графике. Вы можете выбрать до 5 расширенных ошибок.
    По умолчанию на графике отображаются 5 расширенных ошибок, которые чаще всего встречались за выбранный период.

  3. Выберите единицу измерения:

    • Количество DNS-запросов в секунду (QPS) — отображает скорость трафика.

    • Количество DNS-запросов — отображает общее количество запросов за выбранный период.

    По умолчанию используется единица измерения Количество DNS-запросов в секунду (QPS).

  4. Выберите вид графика:

    • Линейный — значения на оси ординат увеличиваются с равным интервалом. Подходит для анализа схожих по объему данных.

    • Логарифмический — каждое следующее значение на оси ординат в 2 раза больше предыдущего (2, 4, 8, 16 и т. д.). Помогает сравнивать данные с большим разбросом и видеть небольшие значения на фоне крупных.

    По умолчанию отображается линейный вид графика.

  5. Если хотите вернуться к настройкам по умолчанию, нажмите По умолчанию.

  6. Нажмите Применить.