虹科分享 | 作為域名系統(tǒng)的SPoF

“SPoF”或“單點(diǎn)故障”背后的思想是，如果系統(tǒng)的一部分發(fā)生故障，那么整個(gè)系統(tǒng)也會(huì)發(fā)生故障。

這是不可取的。在IT和安全領(lǐng)域，如果一個(gè)組件或子組件的故障會(huì)導(dǎo)致系統(tǒng)或應(yīng)用程序嚴(yán)重中斷或降級(jí)，那么我們通常認(rèn)為設(shè)計(jì)有缺陷。

這就把我們帶到了SPoF，即域名系統(tǒng)(域名系統(tǒng))。域名系統(tǒng)是IP地址和人類(lèi)可讀的網(wǎng)站名稱(chēng)和域名的電話(huà)簿。例如，在撰寫(xiě)本文時(shí)，www.facebook.com解析為IP地址31.13.71.36。要為網(wǎng)站提供服務(wù)，計(jì)算機(jī)和路由器需要達(dá)到IP地址，但人類(lèi)不能(也不應(yīng)該)在每次想要在網(wǎng)上做任何事情時(shí)記住一長(zhǎng)串?dāng)?shù)字和圓點(diǎn)。取而代之的是，我們普通人輸入一個(gè)由單詞組成的域名，比如facebook.com，然后DNS服務(wù)器將其轉(zhuǎn)換為IP地址。雖然域名系統(tǒng)是互聯(lián)網(wǎng)工作原理的基本和關(guān)鍵要素，但它也是許多事件調(diào)查和設(shè)計(jì)失敗、測(cè)試不足或文檔不足的根本原因。

為了說(shuō)明我的觀點(diǎn)，即DNS一直是并將繼續(xù)是SPoF，我引用了發(fā)生在2021年10月4日的一件令人難忘的事件。

在那個(gè)周一，全球估計(jì)有49億互聯(lián)網(wǎng)用戶(hù)中，有相當(dāng)大一部分人受到了一個(gè)變化的影響，而這一變化對(duì)Facebook的工程師來(lái)說(shuō)并不太好，因?yàn)樗麄冋跒樗麄兊钠脚_(tái)基礎(chǔ)設(shè)施引入一種配置。具有諷刺意味的是，這一變化可能是為了給他們的DNS基礎(chǔ)設(shè)施和社交媒體平臺(tái)帶來(lái)額外程度的彈性。

事情是這樣的：Facebook的BGP路由規(guī)則和表中引入了一個(gè)錯(cuò)誤。(BGP，即邊界網(wǎng)關(guān)控制，是幫助將互聯(lián)網(wǎng)上的數(shù)據(jù)從一臺(tái)筆記本電腦或工作站路由到其他筆記本電腦、工作站和服務(wù)器的協(xié)議。)。結(jié)果，所有Facebook在一眨眼的時(shí)間內(nèi)就不復(fù)存在了。錯(cuò)誤的配置也讓W(xué)hatsApp和Instagram隨之而來(lái)，因?yàn)檫@些服務(wù)和應(yīng)用程序也依賴(lài)于相同的核心Facebook DNS基礎(chǔ)設(shè)施。

因此，當(dāng)值團(tuán)隊(duì)中的第一批響應(yīng)人員不知道什么起作用，什么不起作用。

這次中斷尤其令人震驚的是它的持續(xù)時(shí)間。通常情況下，變更控制文檔會(huì)包含在更改未按預(yù)期進(jìn)行的情況下的回滾計(jì)劃。然而，出于善意的(但事后看來(lái)是有缺陷的)設(shè)計(jì)和安全考慮，出現(xiàn)了一些復(fù)雜情況。首先，F(xiàn)acebook所有的網(wǎng)絡(luò)管理工具和應(yīng)用程序都突然不可用，無(wú)法訪問(wèn)，因此當(dāng)值團(tuán)隊(duì)中的第一批響應(yīng)人員完全不知道哪些功能正常，哪些功能不正常;一切似乎都不起作用。即使您已經(jīng)記住了為了逆轉(zhuǎn)配置更改而需要到達(dá)的系統(tǒng)的IP地址，由于配置更改的性質(zhì)，也沒(méi)有數(shù)據(jù)包可以到達(dá)這些系統(tǒng)。令人感到滑稽的是，據(jù)報(bào)道，有人不得不開(kāi)車(chē)到一個(gè)數(shù)據(jù)中心附近的家得寶(Home Depot)購(gòu)買(mǎi)角磨機(jī)，以便打開(kāi)數(shù)據(jù)中心的門(mén)。為什么?因?yàn)闉榱思庸毯捅Ｗo(hù)門(mén)后的系統(tǒng)，該公司沒(méi)有使用物理鑰匙開(kāi)門(mén)。您現(xiàn)在可能已經(jīng)猜到了，使用鑰匙卡打開(kāi)門(mén)的徽章閱讀器依賴(lài)于DNS。因?yàn)椴皇撬袛?shù)據(jù)中心附近的工程師都了解BGP配置或有權(quán)限訪問(wèn)服務(wù)器，這導(dǎo)致了長(zhǎng)時(shí)間的中斷。所以那天，社交媒體用戶(hù)、廣告商和有影響力的人被迫暫停大約6個(gè)小時(shí)，在Facebook、WhatsApp和Instagram上推廣他們的各種產(chǎn)品。

這不是第一次DNS宕機(jī)導(dǎo)致宕機(jī)，當(dāng)然也不會(huì)是最后一次。即使是最謹(jǐn)慎和勤奮的網(wǎng)絡(luò)架構(gòu)師和工程師有時(shí)也會(huì)遺漏一些東西，但他們應(yīng)該注意并從這些和其他DNS故障示例中學(xué)習(xí)。您的組織可能已經(jīng)創(chuàng)建了一個(gè)健壯且容錯(cuò)的DNS設(shè)計(jì)，其中多個(gè)服務(wù)器運(yùn)行在地理上分散的離散網(wǎng)絡(luò)上。但是，如果您沒(méi)有將BGP作為一個(gè)故障點(diǎn)，那么您仍然面臨中斷(或由BGP劫持攻擊)的風(fēng)險(xiǎn)。

那么，您可以做些什么來(lái)保護(hù)您的企業(yè)免受DNS故障的影響，無(wú)論是引人注目的故障還是普通的故障？我建議采取以下步驟：

解決有關(guān)SPF記錄、DMARC和DKIM的正確DNS配置的“簡(jiǎn)單問(wèn)題”。在SecurityScorecard的評(píng)級(jí)平臺(tái)上，確實(shí)有數(shù)百萬(wàn)個(gè)可利用的域名和DNS服務(wù)器。(我們每天都會(huì)掃描所有的IPv4)。觀察到的錯(cuò)誤配置很容易修復(fù)，我們的問(wèn)題報(bào)告可以免費(fèi)下載，以供貴公司的數(shù)字足跡使用。

請(qǐng)務(wù)必檢查您的核心服務(wù)提供商和第三方供應(yīng)商的DNS運(yùn)行狀況和安全狀況。他們對(duì)SPoF(即域名系統(tǒng))的不重視也會(huì)擾亂您的業(yè)務(wù)可用性。

考慮引入DNSSEC，它使用基于公鑰加密的數(shù)字簽名來(lái)加強(qiáng)對(duì)DNS的身份驗(yàn)證。這將使壞人更難劫持您的流量和冒充您的服務(wù)，就像最近發(fā)生的一起涉及加密貨幣盜竊的事件一樣。

確保您至少有兩個(gè)不同的DNS提供商，它們由不同的自治系統(tǒng)編號(hào)(ASN)提供服務(wù)。

有許多同樣的例子和故事可以告訴我們，罪魁禍?zhǔn)资怯蛎到y(tǒng)或域名系統(tǒng)安全。對(duì)于像我這樣多年來(lái)一直構(gòu)建和管理互聯(lián)網(wǎng)服務(wù)和網(wǎng)絡(luò)的人來(lái)說(shuō)，“永遠(yuǎn)都是域名系統(tǒng)”是一句口頭禪。

但我希望你能考慮到以上幾點(diǎn)，而且不會(huì)是域名系統(tǒng)。

今日推薦

網(wǎng)絡(luò)安全評(píng)級(jí)

虹科網(wǎng)絡(luò)安全評(píng)級(jí)是一個(gè)安全評(píng)級(jí)平臺(tái)，使企業(yè)能夠以非侵入性和由外而內(nèi)的方式，對(duì)全球任何公司的安全風(fēng)險(xiǎn)進(jìn)行即時(shí)評(píng)級(jí)、了解和持續(xù)監(jiān)測(cè)。獲得C、D或F評(píng)級(jí)的公司被入侵或面臨合規(guī)處罰的可能性比獲得A或B評(píng)級(jí)的公司高5倍。虹科網(wǎng)絡(luò)安全評(píng)級(jí)對(duì)企業(yè)的安全狀況以及任何組織的安全系統(tǒng)中所有供應(yīng)商和合作伙伴的網(wǎng)絡(luò)健康狀況提供即時(shí)可見(jiàn)性。

該平臺(tái)使用可信的商業(yè)和開(kāi)源威脅源以及非侵入性的數(shù)據(jù)收集方法，對(duì)全球成千上萬(wàn)的組織的安全態(tài)勢(shì)進(jìn)行定量評(píng)估和持續(xù)監(jiān)測(cè)。網(wǎng)絡(luò)安全評(píng)級(jí)提供十個(gè)不同風(fēng)險(xiǎn)因素評(píng)分的詳細(xì)報(bào)告：

• 應(yīng)用安全
• 端點(diǎn)安全
• CUBIT評(píng)分
• DNS健康
• 黑客通訊
• IP信譽(yù)
• 信息泄露
• 網(wǎng)絡(luò)安全
• 修補(bǔ)頻率
• 社會(huì)工程

虹科網(wǎng)絡(luò)安全評(píng)級(jí)為各行各業(yè)的大小型企業(yè)提供最準(zhǔn)確、最透明、最全面的安全風(fēng)險(xiǎn)評(píng)級(jí)。

虹科是在各細(xì)分專(zhuān)業(yè)技術(shù)領(lǐng)域內(nèi)的資源整合及技術(shù)服務(wù)落地供應(yīng)商。虹科網(wǎng)絡(luò)安全事業(yè)部的宗旨是：讓網(wǎng)絡(luò)安全更簡(jiǎn)單！憑借深厚的行業(yè)經(jīng)驗(yàn)和技術(shù)積累，近幾年來(lái)與世界行業(yè)內(nèi)頂級(jí)供應(yīng)商Morphisec，DataLocker，Allegro，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了緊密的合作關(guān)系。我們的解決方案包括網(wǎng)絡(luò)全流量監(jiān)控，數(shù)據(jù)安全，終端安全（動(dòng)態(tài)防御），網(wǎng)絡(luò)安全評(píng)級(jí)，網(wǎng)絡(luò)仿真，物聯(lián)網(wǎng)設(shè)備漏洞掃描，安全網(wǎng)絡(luò)時(shí)間同步等行業(yè)領(lǐng)先解決方案。虹科的工程師積極參與國(guó)內(nèi)外專(zhuān)業(yè)協(xié)會(huì)和聯(lián)盟的活動(dòng)，重視技術(shù)培訓(xùn)和積累。

此外，我們積極參與工業(yè)互聯(lián)網(wǎng)產(chǎn)業(yè)聯(lián)盟、中國(guó)通信企業(yè)協(xié)會(huì)等行業(yè)協(xié)會(huì)的工作，為推廣先進(jìn)技術(shù)的普及做出了重要貢獻(xiàn)。我們?cè)诓粩鄤?chuàng)新和實(shí)踐中總結(jié)可持續(xù)和可信賴(lài)的方案，堅(jiān)持與客戶(hù)一起思考，從工程師角度發(fā)現(xiàn)問(wèn)題，解決問(wèn)題，為客戶(hù)提供完美的解決方案。