“SPoF”或“單點(diǎn)故障”背后的思想是，如果系統(tǒng)的一部分發(fā)生故障，那么整個(gè)系統(tǒng)也會(huì)發(fā)生故障。

這是不可取的。在IT和安全領(lǐng)域，如果一個(gè)組件或子組件的故障會(huì)導(dǎo)致系統(tǒng)或應(yīng)用程序嚴(yán)重中斷或降級(jí)，那么我們通常認(rèn)為設(shè)計(jì)有缺陷。

這就把我們帶到了SPoF，即域名系統(tǒng)(域名系統(tǒng))。域名系統(tǒng)是IP地址和人類可讀的網(wǎng)站名稱和域名的電話簿。例如，在撰寫本文時(shí)，www.facebook.com解析為IP地址31.13.71.36。要為網(wǎng)站提供服務(wù)，計(jì)算機(jī)和路由器需要達(dá)到IP地址，但人類不能(也不應(yīng)該)在每次想要在網(wǎng)上做任何事情時(shí)記住一長(zhǎng)串?dāng)?shù)字和圓點(diǎn)。取而代之的是，我們普通人輸入一個(gè)由單詞組成的域名，比如facebook.com，然后DNS服務(wù)器將其轉(zhuǎn)換為IP地址。雖然域名系統(tǒng)是互聯(lián)網(wǎng)工作原理的基本和關(guān)鍵要素，但它也是許多事件調(diào)查和設(shè)計(jì)失敗、測(cè)試不足或文檔不足的根本原因。

?

為了說明我的觀點(diǎn)，即DNS一直是并將繼續(xù)是SPoF，我引用了發(fā)生在2021年10月4日的一件令人難忘的事件。

在那個(gè)周一，全球估計(jì)有49億互聯(lián)網(wǎng)用戶中，有相當(dāng)大一部分人受到了一個(gè)變化的影響，而這一變化對(duì)Facebook的工程師來說并不太好，因?yàn)樗麄冋跒樗麄兊钠脚_(tái)基礎(chǔ)設(shè)施引入一種配置。具有諷刺意味的是，這一變化可能是為了給他們的DNS基礎(chǔ)設(shè)施和社交媒體平臺(tái)帶來額外程度的彈性。

事情是這樣的：Facebook的BGP路由規(guī)則和表中引入了一個(gè)錯(cuò)誤。(BGP，即邊界網(wǎng)關(guān)控制，是幫助將互聯(lián)網(wǎng)上的數(shù)據(jù)從一臺(tái)筆記本電腦或工作站路由到其他筆記本電腦、工作站和服務(wù)器的協(xié)議。)。結(jié)果，所有Facebook在一眨眼的時(shí)間內(nèi)就不復(fù)存在了。錯(cuò)誤的配置也讓W(xué)hatsApp和Instagram隨之而來，因?yàn)檫@些服務(wù)和應(yīng)用程序也依賴于相同的核心Facebook DNS基礎(chǔ)設(shè)施。

因此，當(dāng)值團(tuán)隊(duì)中的第一批響應(yīng)人員不知道什么起作用，什么不起作用。

這次中斷尤其令人震驚的是它的持續(xù)時(shí)間。通常情況下，變更控制文檔會(huì)包含在更改未按預(yù)期進(jìn)行的情況下的回滾計(jì)劃。然而，出于善意的(但事后看來是有缺陷的)設(shè)計(jì)和安全考慮，出現(xiàn)了一些復(fù)雜情況。首先，F(xiàn)acebook所有的網(wǎng)絡(luò)管理工具和應(yīng)用程序都突然不可用，無法訪問，因此當(dāng)值團(tuán)隊(duì)中的第一批響應(yīng)人員完全不知道哪些功能正常，哪些功能不正常;一切似乎都不起作用。即使您已經(jīng)記住了為了逆轉(zhuǎn)配置更改而需要到達(dá)的系統(tǒng)的IP地址，由于配置更改的性質(zhì)，也沒有數(shù)據(jù)包可以到達(dá)這些系統(tǒng)。令人感到滑稽的是，據(jù)報(bào)道，有人不得不開車到一個(gè)數(shù)據(jù)中心附近的家得寶(Home Depot)購(gòu)買角磨機(jī)，以便打開數(shù)據(jù)中心的門。為什么?因?yàn)闉榱思庸毯捅Ｗo(hù)門后的系統(tǒng)，該公司沒有使用物理鑰匙開門。您現(xiàn)在可能已經(jīng)猜到了，使用鑰匙卡打開門的徽章閱讀器依賴于DNS。因?yàn)椴皇撬袛?shù)據(jù)中心附近的工程師都了解BGP配置或有權(quán)限訪問服務(wù)器，這導(dǎo)致了長(zhǎng)時(shí)間的中斷。所以那天，社交媒體用戶、廣告商和有影響力的人被迫暫停大約6個(gè)小時(shí)，在Facebook、WhatsApp和Instagram上推廣他們的各種產(chǎn)品。

這不是第一次DNS宕機(jī)導(dǎo)致宕機(jī)，當(dāng)然也不會(huì)是最后一次。即使是最謹(jǐn)慎和勤奮的網(wǎng)絡(luò)架構(gòu)師和工程師有時(shí)也會(huì)遺漏一些東西，但他們應(yīng)該注意并從這些和其他DNS故障示例中學(xué)習(xí)。您的組織可能已經(jīng)創(chuàng)建了一個(gè)健壯且容錯(cuò)的DNS設(shè)計(jì)，其中多個(gè)服務(wù)器運(yùn)行在地理上分散的離散網(wǎng)絡(luò)上。但是，如果您沒有將BGP作為一個(gè)故障點(diǎn)，那么您仍然面臨中斷(或由BGP劫持攻擊)的風(fēng)險(xiǎn)。

那么，您可以做些什么來保護(hù)您的企業(yè)免受DNS故障的影響，無論是引人注目的故障還是普通的故障？我建議采取以下步驟：

解決有關(guān)SPF記錄、DMARC和DKIM的正確DNS配置的“簡(jiǎn)單問題”。在SecurityScorecard的評(píng)級(jí)平臺(tái)上，確實(shí)有數(shù)百萬個(gè)可利用的域名和DNS服務(wù)器。(我們每天都會(huì)掃描所有的IPv4)。觀察到的錯(cuò)誤配置很容易修復(fù)，我們的問題報(bào)告可以免費(fèi)下載，以供貴公司的數(shù)字足跡使用。

請(qǐng)務(wù)必檢查您的核心服務(wù)提供商和第三方供應(yīng)商的DNS運(yùn)行狀況和安全狀況。他們對(duì)SPoF(即域名系統(tǒng))的不重視也會(huì)擾亂您的業(yè)務(wù)可用性。

考慮引入DNSSEC，它使用基于公鑰加密的數(shù)字簽名來加強(qiáng)對(duì)DNS的身份驗(yàn)證。這將使壞人更難劫持您的流量和冒充您的服務(wù)，就像最近發(fā)生的一起涉及加密貨幣盜竊的事件一樣。

確保您至少有兩個(gè)不同的DNS提供商，它們由不同的自治系統(tǒng)編號(hào)(ASN)提供服務(wù)。您可以使用這個(gè)頁(yè)面查找任何IP地址的ASN，這些頁(yè)面來自Team Cymru：https://asn.cymru.com/。

有許多同樣的例子和故事可以告訴我們，罪魁禍?zhǔn)资怯蛎到y(tǒng)或域名系統(tǒng)安全。對(duì)于像我這樣多年來一直構(gòu)建和管理互聯(lián)網(wǎng)服務(wù)和網(wǎng)絡(luò)的人來說，“永遠(yuǎn)都是域名系統(tǒng)”是一句口頭禪。

但我希望你能考慮到以上幾點(diǎn)，而且不會(huì)是域名系統(tǒng)。