虹科分享 | 作为域名系统的SPoF

“SPoF”或“单点故障”背后的思想是，如果系统的一部分发生故障，那么整个系统也会发生故障。

这是不可取的。在IT和安全领域，如果一个组件或子组件的故障会导致系统或应用程序严重中断或降级，那么我们通常认为设计有缺陷。

这就把我们带到了SPoF，即域名系统(域名系统)。域名系统是IP地址和人类可读的网站名称和域名的电话簿。例如，在撰写本文时，www.facebook.com解析为IP地址31.13.71.36。要为网站提供服务，计算机和路由器需要达到IP地址，但人类不能(也不应该)在每次想要在网上做任何事情时记住一长串数字和圆点。取而代之的是，我们普通人输入一个由单词组成的域名，比如facebook.com，然后DNS服务器将其转换为IP地址。虽然域名系统是互联网工作原理的基本和关键要素，但它也是许多事件调查和设计失败、测试不足或文档不足的根本原因。

为了说明我的观点，即DNS一直是并将继续是SPoF，我引用了发生在2021年10月4日的一件令人难忘的事件。

在那个周一，全球估计有49亿互联网用户中，有相当大一部分人受到了一个变化的影响，而这一变化对Facebook的工程师来说并不太好，因为他们正在为他们的平台基础设施引入一种配置。具有讽刺意味的是，这一变化可能是为了给他们的DNS基础设施和社交媒体平台带来额外程度的弹性。

事情是这样的：Facebook的BGP路由规则和表中引入了一个错误。(BGP，即边界网关控制，是帮助将互联网上的数据从一台笔记本电脑或工作站路由到其他笔记本电脑、工作站和服务器的协议。)。结果，所有Facebook在一眨眼的时间内就不复存在了。错误的配置也让WhatsApp和Instagram随之而来，因为这些服务和应用程序也依赖于相同的核心Facebook DNS基础设施。

因此，当值团队中的第一批响应人员不知道什么起作用，什么不起作用。

这次中断尤其令人震惊的是它的持续时间。通常情况下，变更控制文档会包含在更改未按预期进行的情况下的回滚计划。然而，出于善意的(但事后看来是有缺陷的)设计和安全考虑，出现了一些复杂情况。首先，Facebook所有的网络管理工具和应用程序都突然不可用，无法访问，因此当值团队中的第一批响应人员完全不知道哪些功能正常，哪些功能不正常;一切似乎都不起作用。即使您已经记住了为了逆转配置更改而需要到达的系统的IP地址，由于配置更改的性质，也没有数据包可以到达这些系统。令人感到滑稽的是，据报道，有人不得不开车到一个数据中心附近的家得宝(Home Depot)购买角磨机，以便打开数据中心的门。为什么?因为为了加固和保护门后的系统，该公司没有使用物理钥匙开门。您现在可能已经猜到了，使用钥匙卡打开门的徽章阅读器依赖于DNS。因为不是所有数据中心附近的工程师都了解BGP配置或有权限访问服务器，这导致了长时间的中断。所以那天，社交媒体用户、广告商和有影响力的人被迫暂停大约6个小时，在Facebook、WhatsApp和Instagram上推广他们的各种产品。

这不是第一次DNS宕机导致宕机，当然也不会是最后一次。即使是最谨慎和勤奋的网络架构师和工程师有时也会遗漏一些东西，但他们应该注意并从这些和其他DNS故障示例中学习。您的组织可能已经创建了一个健壮且容错的DNS设计，其中多个服务器运行在地理上分散的离散网络上。但是，如果您没有将BGP作为一个故障点，那么您仍然面临中断(或由BGP劫持攻击)的风险。

那么，您可以做些什么来保护您的企业免受DNS故障的影响，无论是引人注目的故障还是普通的故障？我建议采取以下步骤：

解决有关SPF记录、DMARC和DKIM的正确DNS配置的“简单问题”。在SecurityScorecard的评级平台上，确实有数百万个可利用的域名和DNS服务器。(我们每天都会扫描所有的IPv4)。观察到的错误配置很容易修复，我们的问题报告可以免费下载，以供贵公司的数字足迹使用。

请务必检查您的核心服务提供商和第三方供应商的DNS运行状况和安全状况。他们对SPoF(即域名系统)的不重视也会扰乱您的业务可用性。

考虑引入DNSSEC，它使用基于公钥加密的数字签名来加强对DNS的身份验证。这将使坏人更难劫持您的流量和冒充您的服务，就像最近发生的一起涉及加密货币盗窃的事件一样。

确保您至少有两个不同的DNS提供商，它们由不同的自治系统编号(ASN)提供服务。

有许多同样的例子和故事可以告诉我们，罪魁祸首是域名系统或域名系统安全。对于像我这样多年来一直构建和管理互联网服务和网络的人来说，“永远都是域名系统”是一句口头禅。

但我希望你能考虑到以上几点，而且不会是域名系统。

今日推荐

网络安全评级

虹科网络安全评级是一个安全评级平台，使企业能够以非侵入性和由外而内的方式，对全球任何公司的安全风险进行即时评级、了解和持续监测。获得C、D或F评级的公司被入侵或面临合规处罚的可能性比获得A或B评级的公司高5倍。虹科网络安全评级对企业的安全状况以及任何组织的安全系统中所有供应商和合作伙伴的网络健康状况提供即时可见性。

该平台使用可信的商业和开源威胁源以及非侵入性的数据收集方法，对全球成千上万的组织的安全态势进行定量评估和持续监测。网络安全评级提供十个不同风险因素评分的详细报告：

• 应用安全
• 端点安全
• CUBIT评分
• DNS健康
• 黑客通讯
• IP信誉
• 信息泄露
• 网络安全
• 修补频率
• 社会工程

虹科网络安全评级为各行各业的大小型企业提供最准确、最透明、最全面的安全风险评级。

虹科是在各细分专业技术领域内的资源整合及技术服务落地供应商。虹科网络安全事业部的宗旨是：让网络安全更简单！凭借深厚的行业经验和技术积累，近几年来与世界行业内顶级供应商Morphisec，DataLocker，Allegro，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了紧密的合作关系。我们的解决方案包括网络全流量监控，数据安全，终端安全（动态防御），网络安全评级，网络仿真，物联网设备漏洞扫描，安全网络时间同步等行业领先解决方案。虹科的工程师积极参与国内外专业协会和联盟的活动，重视技术培训和积累。

此外，我们积极参与工业互联网产业联盟、中国通信企业协会等行业协会的工作，为推广先进技术的普及做出了重要贡献。我们在不断创新和实践中总结可持续和可信赖的方案，坚持与客户一起思考，从工程师角度发现问题，解决问题，为客户提供完美的解决方案。