“SPoF”或“單點故障”背后的思想是，如果系統(tǒng)的一部分發(fā)生故障，那么整個系統(tǒng)也會發(fā)生故障。

這是不可取的。在IT和安全領(lǐng)域，如果一個組件或子組件的故障會導(dǎo)致系統(tǒng)或應(yīng)用程序嚴(yán)重中斷或降級，那么我們通常認(rèn)為設(shè)計有缺陷。

這就把我們帶到了SPoF，即域名系統(tǒng)(域名系統(tǒng))。域名系統(tǒng)是IP地址和人類可讀的網(wǎng)站名稱和域名的電話簿。例如，在撰寫本文時，www.facebook.com解析為IP地址31.13.71.36。要為網(wǎng)站提供服務(wù)，計算機和路由器需要達到IP地址，但人類不能(也不應(yīng)該)在每次想要在網(wǎng)上做任何事情時記住一長串?dāng)?shù)字和圓點。取而代之的是，我們普通人輸入一個由單詞組成的域名，比如facebook.com，然后DNS服務(wù)器將其轉(zhuǎn)換為IP地址。雖然域名系統(tǒng)是互聯(lián)網(wǎng)工作原理的基本和關(guān)鍵要素，但它也是許多事件調(diào)查和設(shè)計失敗、測試不足或文檔不足的根本原因。

為了說明我的觀點，即DNS一直是并將繼續(xù)是SPoF，我引用了發(fā)生在2021年10月4日的一件令人難忘的事件。

在那個周一，全球估計有49億互聯(lián)網(wǎng)用戶中，有相當(dāng)大一部分人受到了一個變化的影響，而這一變化對Facebook的工程師來說并不太好，因為他們正在為他們的平臺基礎(chǔ)設(shè)施引入一種配置。具有諷刺意味的是，這一變化可能是為了給他們的DNS基礎(chǔ)設(shè)施和社交媒體平臺帶來額外程度的彈性。

事情是這樣的：Facebook的BGP路由規(guī)則和表中引入了一個錯誤。(BGP，即邊界網(wǎng)關(guān)控制，是幫助將互聯(lián)網(wǎng)上的數(shù)據(jù)從一臺筆記本電腦或工作站路由到其他筆記本電腦、工作站和服務(wù)器的協(xié)議。)。結(jié)果，所有Facebook在一眨眼的時間內(nèi)就不復(fù)存在了。錯誤的配置也讓W(xué)hatsApp和Instagram隨之而來，因為這些服務(wù)和應(yīng)用程序也依賴于相同的核心Facebook DNS基礎(chǔ)設(shè)施。

因此，當(dāng)值團隊中的第一批響應(yīng)人員不知道什么起作用，什么不起作用。

這次中斷尤其令人震驚的是它的持續(xù)時間。通常情況下，變更控制文檔會包含在更改未按預(yù)期進行的情況下的回滾計劃。然而，出于善意的(但事后看來是有缺陷的)設(shè)計和安全考慮，出現(xiàn)了一些復(fù)雜情況。首先，F(xiàn)acebook所有的網(wǎng)絡(luò)管理工具和應(yīng)用程序都突然不可用，無法訪問，因此當(dāng)值團隊中的第一批響應(yīng)人員完全不知道哪些功能正常，哪些功能不正常;一切似乎都不起作用。即使您已經(jīng)記住了為了逆轉(zhuǎn)配置更改而需要到達的系統(tǒng)的IP地址，由于配置更改的性質(zhì)，也沒有數(shù)據(jù)包可以到達這些系統(tǒng)。令人感到滑稽的是，據(jù)報道，有人不得不開車到一個數(shù)據(jù)中心附近的家得寶(Home Depot)購買角磨機，以便打開數(shù)據(jù)中心的門。為什么?因為為了加固和保護門后的系統(tǒng)，該公司沒有使用物理鑰匙開門。您現(xiàn)在可能已經(jīng)猜到了，使用鑰匙卡打開門的徽章閱讀器依賴于DNS。因為不是所有數(shù)據(jù)中心附近的工程師都了解BGP配置或有權(quán)限訪問服務(wù)器，這導(dǎo)致了長時間的中斷。所以那天，社交媒體用戶、廣告商和有影響力的人被迫暫停大約6個小時，在Facebook、WhatsApp和Instagram上推廣他們的各種產(chǎn)品。

這不是第一次DNS宕機導(dǎo)致宕機，當(dāng)然也不會是最后一次。即使是最謹(jǐn)慎和勤奮的網(wǎng)絡(luò)架構(gòu)師和工程師有時也會遺漏一些東西，但他們應(yīng)該注意并從這些和其他DNS故障示例中學(xué)習(xí)。您的組織可能已經(jīng)創(chuàng)建了一個健壯且容錯的DNS設(shè)計，其中多個服務(wù)器運行在地理上分散的離散網(wǎng)絡(luò)上。但是，如果您沒有將BGP作為一個故障點，那么您仍然面臨中斷(或由BGP劫持攻擊)的風(fēng)險。

那么，您可以做些什么來保護您的企業(yè)免受DNS故障的影響，無論是引人注目的故障還是普通的故障？我建議采取以下步驟：

解決有關(guān)SPF記錄、DMARC和DKIM的正確DNS配置的“簡單問題”。在SecurityScorecard的評級平臺上，確實有數(shù)百萬個可利用的域名和DNS服務(wù)器。(我們每天都會掃描所有的IPv4)。觀察到的錯誤配置很容易修復(fù)，我們的問題報告可以免費下載，以供貴公司的數(shù)字足跡使用。

請務(wù)必檢查您的核心服務(wù)提供商和第三方供應(yīng)商的DNS運行狀況和安全狀況。他們對SPoF(即域名系統(tǒng))的不重視也會擾亂您的業(yè)務(wù)可用性。

考慮引入DNSSEC，它使用基于公鑰加密的數(shù)字簽名來加強對DNS的身份驗證。這將使壞人更難劫持您的流量和冒充您的服務(wù)，就像最近發(fā)生的一起涉及加密貨幣盜竊的事件一樣。

確保您至少有兩個不同的DNS提供商，它們由不同的自治系統(tǒng)編號(ASN)提供服務(wù)。

有許多同樣的例子和故事可以告訴我們，罪魁禍?zhǔn)资怯蛎到y(tǒng)或域名系統(tǒng)安全。對于像我這樣多年來一直構(gòu)建和管理互聯(lián)網(wǎng)服務(wù)和網(wǎng)絡(luò)的人來說，“永遠都是域名系統(tǒng)”是一句口頭禪。

但我希望你能考慮到以上幾點，而且不會是域名系統(tǒng)。

今日推薦

網(wǎng)絡(luò)安全評級

虹科網(wǎng)絡(luò)安全評級是一個安全評級平臺，使企業(yè)能夠以非侵入性和由外而內(nèi)的方式，對全球任何公司的安全風(fēng)險進行即時評級、了解和持續(xù)監(jiān)測。獲得C、D或F評級的公司被入侵或面臨合規(guī)處罰的可能性比獲得A或B評級的公司高5倍。虹科網(wǎng)絡(luò)安全評級對企業(yè)的安全狀況以及任何組織的安全系統(tǒng)中所有供應(yīng)商和合作伙伴的網(wǎng)絡(luò)健康狀況提供即時可見性。

該平臺使用可信的商業(yè)和開源威脅源以及非侵入性的數(shù)據(jù)收集方法，對全球成千上萬的組織的安全態(tài)勢進行定量評估和持續(xù)監(jiān)測。網(wǎng)絡(luò)安全評級提供十個不同風(fēng)險因素評分的詳細報告：

• 應(yīng)用安全
• 端點安全
• CUBIT評分
• DNS健康
• 黑客通訊
• IP信譽
• 信息泄露
• 網(wǎng)絡(luò)安全
• 修補頻率
• 社會工程

虹科網(wǎng)絡(luò)安全評級為各行各業(yè)的大小型企業(yè)提供最準(zhǔn)確、最透明、最全面的安全風(fēng)險評級。

虹科是在各細分專業(yè)技術(shù)領(lǐng)域內(nèi)的資源整合及技術(shù)服務(wù)落地供應(yīng)商。虹科網(wǎng)絡(luò)安全事業(yè)部的宗旨是：讓網(wǎng)絡(luò)安全更簡單！憑借深厚的行業(yè)經(jīng)驗和技術(shù)積累，近幾年來與世界行業(yè)內(nèi)頂級供應(yīng)商Morphisec，DataLocker，Allegro，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了緊密的合作關(guān)系。我們的解決方案包括網(wǎng)絡(luò)全流量監(jiān)控，數(shù)據(jù)安全，終端安全（動態(tài)防御），網(wǎng)絡(luò)安全評級，網(wǎng)絡(luò)仿真，物聯(lián)網(wǎng)設(shè)備漏洞掃描，安全網(wǎng)絡(luò)時間同步等行業(yè)領(lǐng)先解決方案。虹科的工程師積極參與國內(nèi)外專業(yè)協(xié)會和聯(lián)盟的活動，重視技術(shù)培訓(xùn)和積累。

此外，我們積極參與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟、中國通信企業(yè)協(xié)會等行業(yè)協(xié)會的工作，為推廣先進技術(shù)的普及做出了重要貢獻。我們在不斷創(chuàng)新和實踐中總結(jié)可持續(xù)和可信賴的方案，堅持與客戶一起思考，從工程師角度發(fā)現(xiàn)問題，解決問題，為客戶提供完美的解決方案。