虹科分享 | 网络评级 | 作为域名系统的SPoF

“SPoF”或“单点故障”背后的思想是,如果系统的一部分发生故障,那么整个系统也会发生故障。

这是不可取的。在IT和安全领域,如果一个组件或子组件的故障会导致系统或应用程序严重中断或降级,那么我们通常认为设计有缺陷。

这就把我们带到了SPoF,即域名系统(域名系统)。域名系统是IP地址和人类可读的网站名称和域名的电话簿。例如,在撰写本文时,www.facebook.com解析为IP地址31.13.71.36。要为网站提供服务,计算机和路由器需要达到IP地址,但人类不能(也不应该)在每次想要在网上做任何事情时记住一长串数字和圆点。取而代之的是,我们普通人输入一个由单词组成的域名,比如facebook.com,然后DNS服务器将其转换为IP地址。虽然域名系统是互联网工作原理的基本和关键要素,但它也是许多事件调查和设计失败、测试不足或文档不足的根本原因。 

为了说明我的观点,即DNS一直是并将继续是SPoF,我引用了发生在2021年10月4日的一件令人难忘的事件。

在那个周一,全球估计有49亿互联网用户中,有相当大一部分人受到了一个变化的影响,而这一变化对Facebook的工程师来说并不太好,因为他们正在为他们的平台基础设施引入一种配置。具有讽刺意味的是,这一变化可能是为了给他们的DNS基础设施和社交媒体平台带来额外程度的弹性。

事情是这样的:Facebook的BGP路由规则和表中引入了一个错误。(BGP,即边界网关控制,是帮助将互联网上的数据从一台笔记本电脑或工作站路由到其他笔记本电脑、工作站和服务器的协议。)。结果,所有Facebook在一眨眼的时间内就不复存在了。错误的配置也让WhatsApp和Instagram随之而来,因为这些服务和应用程序也依赖于相同的核心Facebook DNS基础设施。

因此,当值团队中的第一批响应人员不知道什么起作用,什么不起作用。

这次中断尤其令人震惊的是它的持续时间。通常情况下,变更控制文档会包含在更改未按预期进行的情况下的回滚计划。然而,出于善意的(但事后看来是有缺陷的)设计和安全考虑,出现了一些复杂情况。首先,Facebook所有的网络管理工具和应用程序都突然不可用,无法访问,因此当值团队中的第一批响应人员完全不知道哪些功能正常,哪些功能不正常;一切似乎都不起作用。即使您已经记住了为了逆转配置更改而需要到达的系统的IP地址,由于配置更改的性质,也没有数据包可以到达这些系统。令人感到滑稽的是,据报道,有人不得不开车到一个数据中心附近的家得宝(Home Depot)购买角磨机,以便打开数据中心的门。为什么?因为为了加固和保护门后的系统,该公司没有使用物理钥匙开门。您现在可能已经猜到了,使用钥匙卡打开门的徽章阅读器依赖于DNS。因为不是所有数据中心附近的工程师都了解BGP配置或有权限访问服务器,这导致了长时间的中断。所以那天,社交媒体用户、广告商和有影响力的人被迫暂停大约6个小时,在Facebook、WhatsApp和Instagram上推广他们的各种产品。

这不是第一次DNS宕机导致宕机,当然也不会是最后一次。即使是最谨慎和勤奋的网络架构师和工程师有时也会遗漏一些东西,但他们应该注意并从这些和其他DNS故障示例中学习。您的组织可能已经创建了一个健壮且容错的DNS设计,其中多个服务器运行在地理上分散的离散网络上。但是,如果您没有将BGP作为一个故障点,那么您仍然面临中断(或由BGP劫持攻击)的风险。

那么,您可以做些什么来保护您的企业免受DNS故障的影响,无论是引人注目的故障还是普通的故障?我建议采取以下步骤:

解决有关SPF记录、DMARC和DKIM的正确DNS配置的“简单问题”。在SecurityScorecard的评级平台上,确实有数百万个可利用的域名和DNS服务器。(我们每天都会扫描所有的IPv4)。观察到的错误配置很容易修复,我们的问题报告可以免费下载,以供贵公司的数字足迹使用。

请务必检查您的核心服务提供商和第三方供应商的DNS运行状况和安全状况。他们对SPoF(即域名系统)的不重视也会扰乱您的业务可用性。

考虑引入DNSSEC,它使用基于公钥加密的数字签名来加强对DNS的身份验证。这将使坏人更难劫持您的流量和冒充您的服务,就像最近发生的一起涉及加密货币盗窃的事件一样。

确保您至少有两个不同的DNS提供商,它们由不同的自治系统编号(ASN)提供服务。您可以使用这个页面查找任何IP地址的ASN,这些页面来自Team Cymru:https://asn.cymru.com/。

有许多同样的例子和故事可以告诉我们,罪魁祸首是域名系统或域名系统安全。对于像我这样多年来一直构建和管理互联网服务和网络的人来说,“永远都是域名系统”是一句口头禅。

但我希望你能考虑到以上几点,而且不会是域名系统。