“SPoF”或“單點故障”背后的思想是，如果系統(tǒng)的一部分發(fā)生故障，那么整個系統(tǒng)也會發(fā)生故障。

這是不可取的。在IT和安全領域，如果一個組件或子組件的故障會導致系統(tǒng)或應用程序嚴重中斷或降級，那么我們通常認為設計有缺陷。

這就把我們帶到了SPoF，即域名系統(tǒng)(域名系統(tǒng))。域名系統(tǒng)是IP地址和人類可讀的網(wǎng)站名稱和域名的電話簿。例如，在撰寫本文時，www.facebook.com解析為IP地址31.13.71.36。要為網(wǎng)站提供服務，計算機和路由器需要達到IP地址，但人類不能(也不應該)在每次想要在網(wǎng)上做任何事情時記住一長串數(shù)字和圓點。取而代之的是，我們普通人輸入一個由單詞組成的域名，比如facebook.com，然后DNS服務器將其轉換為IP地址。雖然域名系統(tǒng)是互聯(lián)網(wǎng)工作原理的基本和關鍵要素，但它也是許多事件調(diào)查和設計失敗、測試不足或文檔不足的根本原因。

為了說明我的觀點，即DNS一直是并將繼續(xù)是SPoF，我引用了發(fā)生在2021年10月4日的一件令人難忘的事件。

在那個周一，全球估計有49億互聯(lián)網(wǎng)用戶中，有相當大一部分人受到了一個變化的影響，而這一變化對Facebook的工程師來說并不太好，因為他們正在為他們的平臺基礎設施引入一種配置。具有諷刺意味的是，這一變化可能是為了給他們的DNS基礎設施和社交媒體平臺帶來額外程度的彈性。

事情是這樣的：Facebook的BGP路由規(guī)則和表中引入了一個錯誤。(BGP，即邊界網(wǎng)關控制，是幫助將互聯(lián)網(wǎng)上的數(shù)據(jù)從一臺筆記本電腦或工作站路由到其他筆記本電腦、工作站和服務器的協(xié)議。)。結果，所有Facebook在一眨眼的時間內(nèi)就不復存在了。錯誤的配置也讓WhatsApp和Instagram隨之而來，因為這些服務和應用程序也依賴于相同的核心Facebook DNS基礎設施。

因此，當值團隊中的第一批響應人員不知道什么起作用，什么不起作用。

這次中斷尤其令人震驚的是它的持續(xù)時間。通常情況下，變更控制文檔會包含在更改未按預期進行的情況下的回滾計劃。然而，出于善意的(但事后看來是有缺陷的)設計和安全考慮，出現(xiàn)了一些復雜情況。首先，F(xiàn)acebook所有的網(wǎng)絡管理工具和應用程序都突然不可用，無法訪問，因此當值團隊中的第一批響應人員完全不知道哪些功能正常，哪些功能不正常;一切似乎都不起作用。即使您已經(jīng)記住了為了逆轉配置更改而需要到達的系統(tǒng)的IP地址，由于配置更改的性質(zhì)，也沒有數(shù)據(jù)包可以到達這些系統(tǒng)。令人感到滑稽的是，據(jù)報道，有人不得不開車到一個數(shù)據(jù)中心附近的家得寶(Home Depot)購買角磨機，以便打開數(shù)據(jù)中心的門。為什么?因為為了加固和保護門后的系統(tǒng)，該公司沒有使用物理鑰匙開門。您現(xiàn)在可能已經(jīng)猜到了，使用鑰匙卡打開門的徽章閱讀器依賴于DNS。因為不是所有數(shù)據(jù)中心附近的工程師都了解BGP配置或有權限訪問服務器，這導致了長時間的中斷。所以那天，社交媒體用戶、廣告商和有影響力的人被迫暫停大約6個小時，在Facebook、WhatsApp和Instagram上推廣他們的各種產(chǎn)品。

這不是第一次DNS宕機導致宕機，當然也不會是最后一次。即使是最謹慎和勤奮的網(wǎng)絡架構師和工程師有時也會遺漏一些東西，但他們應該注意并從這些和其他DNS故障示例中學習。您的組織可能已經(jīng)創(chuàng)建了一個健壯且容錯的DNS設計，其中多個服務器運行在地理上分散的離散網(wǎng)絡上。但是，如果您沒有將BGP作為一個故障點，那么您仍然面臨中斷(或由BGP劫持攻擊)的風險。

那么，您可以做些什么來保護您的企業(yè)免受DNS故障的影響，無論是引人注目的故障還是普通的故障？我建議采取以下步驟：

解決有關SPF記錄、DMARC和DKIM的正確DNS配置的“簡單問題”。在SecurityScorecard的評級平臺上，確實有數(shù)百萬個可利用的域名和DNS服務器。(我們每天都會掃描所有的IPv4)。觀察到的錯誤配置很容易修復，我們的問題報告可以免費下載，以供貴公司的數(shù)字足跡使用。

請務必檢查您的核心服務提供商和第三方供應商的DNS運行狀況和安全狀況。他們對SPoF(即域名系統(tǒng))的不重視也會擾亂您的業(yè)務可用性。

考慮引入DNSSEC，它使用基于公鑰加密的數(shù)字簽名來加強對DNS的身份驗證。這將使壞人更難劫持您的流量和冒充您的服務，就像最近發(fā)生的一起涉及加密貨幣盜竊的事件一樣。

確保您至少有兩個不同的DNS提供商，它們由不同的自治系統(tǒng)編號(ASN)提供服務。

有許多同樣的例子和故事可以告訴我們，罪魁禍首是域名系統(tǒng)或域名系統(tǒng)安全。對于像我這樣多年來一直構建和管理互聯(lián)網(wǎng)服務和網(wǎng)絡的人來說，“永遠都是域名系統(tǒng)”是一句口頭禪。

但我希望你能考慮到以上幾點，而且不會是域名系統(tǒng)。

今日推薦

網(wǎng)絡安全評級

虹科網(wǎng)絡安全評級是一個安全評級平臺，使企業(yè)能夠以非侵入性和由外而內(nèi)的方式，對全球任何公司的安全風險進行即時評級、了解和持續(xù)監(jiān)測。獲得C、D或F評級的公司被入侵或面臨合規(guī)處罰的可能性比獲得A或B評級的公司高5倍。虹科網(wǎng)絡安全評級對企業(yè)的安全狀況以及任何組織的安全系統(tǒng)中所有供應商和合作伙伴的網(wǎng)絡健康狀況提供即時可見性。

該平臺使用可信的商業(yè)和開源威脅源以及非侵入性的數(shù)據(jù)收集方法，對全球成千上萬的組織的安全態(tài)勢進行定量評估和持續(xù)監(jiān)測。網(wǎng)絡安全評級提供十個不同風險因素評分的詳細報告：

• 應用安全
• 端點安全
• CUBIT評分
• DNS健康
• 黑客通訊
• IP信譽
• 信息泄露
• 網(wǎng)絡安全
• 修補頻率
• 社會工程

虹科網(wǎng)絡安全評級為各行各業(yè)的大小型企業(yè)提供最準確、最透明、最全面的安全風險評級。

虹科是在各細分專業(yè)技術領域內(nèi)的資源整合及技術服務落地供應商。虹科網(wǎng)絡安全事業(yè)部的宗旨是：讓網(wǎng)絡安全更簡單！憑借深厚的行業(yè)經(jīng)驗和技術積累，近幾年來與世界行業(yè)內(nèi)頂級供應商Morphisec，DataLocker，Allegro，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了緊密的合作關系。我們的解決方案包括網(wǎng)絡全流量監(jiān)控，數(shù)據(jù)安全，終端安全（動態(tài)防御），網(wǎng)絡安全評級，網(wǎng)絡仿真，物聯(lián)網(wǎng)設備漏洞掃描，安全網(wǎng)絡時間同步等行業(yè)領先解決方案。虹科的工程師積極參與國內(nèi)外專業(yè)協(xié)會和聯(lián)盟的活動，重視技術培訓和積累。

此外，我們積極參與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟、中國通信企業(yè)協(xié)會等行業(yè)協(xié)會的工作，為推廣先進技術的普及做出了重要貢獻。我們在不斷創(chuàng)新和實踐中總結可持續(xù)和可信賴的方案，堅持與客戶一起思考，從工程師角度發(fā)現(xiàn)問題，解決問題，為客戶提供完美的解決方案。