“SPoF”或“單點故障”背后的思想是，如果系統的一部分發生故障，那么整個系統也會發生故障。

這是不可取的。在IT和安全領域，如果一個組件或子組件的故障會導致系統或應用程序嚴重中斷或降級，那么我們通常認為設計有缺陷。

這就把我們帶到了SPoF，即域名系統(域名系統)。域名系統是IP地址和人類可讀的網站名稱和域名的電話簿。例如，在撰寫本文時，www.facebook.com解析為IP地址31.13.71.36。要為網站提供服務，計算機和路由器需要達到IP地址，但人類不能(也不應該)在每次想要在網上做任何事情時記住一長串數字和圓點。取而代之的是，我們普通人輸入一個由單詞組成的域名，比如facebook.com，然后DNS服務器將其轉換為IP地址。雖然域名系統是互聯網工作原理的基本和關鍵要素，但它也是許多事件調查和設計失敗、測試不足或文檔不足的根本原因。

為了說明我的觀點，即DNS一直是并將繼續是SPoF，我引用了發生在2021年10月4日的一件令人難忘的事件。

在那個周一，全球估計有49億互聯網用戶中，有相當大一部分人受到了一個變化的影響，而這一變化對Facebook的工程師來說并不太好，因為他們正在為他們的平臺基礎設施引入一種配置。具有諷刺意味的是，這一變化可能是為了給他們的DNS基礎設施和社交媒體平臺帶來額外程度的彈性。

事情是這樣的：Facebook的BGP路由規則和表中引入了一個錯誤。(BGP，即邊界網關控制，是幫助將互聯網上的數據從一臺筆記本電腦或工作站路由到其他筆記本電腦、工作站和服務器的協議。)。結果，所有Facebook在一眨眼的時間內就不復存在了。錯誤的配置也讓WhatsApp和Instagram隨之而來，因為這些服務和應用程序也依賴于相同的核心Facebook DNS基礎設施。

因此，當值團隊中的第一批響應人員不知道什么起作用，什么不起作用。

這次中斷尤其令人震驚的是它的持續時間。通常情況下，變更控制文檔會包含在更改未按預期進行的情況下的回滾計劃。然而，出于善意的(但事后看來是有缺陷的)設計和安全考慮，出現了一些復雜情況。首先，Facebook所有的網絡管理工具和應用程序都突然不可用，無法訪問，因此當值團隊中的第一批響應人員完全不知道哪些功能正常，哪些功能不正常;一切似乎都不起作用。即使您已經記住了為了逆轉配置更改而需要到達的系統的IP地址，由于配置更改的性質，也沒有數據包可以到達這些系統。令人感到滑稽的是，據報道，有人不得不開車到一個數據中心附近的家得寶(Home Depot)購買角磨機，以便打開數據中心的門。為什么?因為為了加固和保護門后的系統，該公司沒有使用物理鑰匙開門。您現在可能已經猜到了，使用鑰匙卡打開門的徽章閱讀器依賴于DNS。因為不是所有數據中心附近的工程師都了解BGP配置或有權限訪問服務器，這導致了長時間的中斷。所以那天，社交媒體用戶、廣告商和有影響力的人被迫暫停大約6個小時，在Facebook、WhatsApp和Instagram上推廣他們的各種產品。

這不是第一次DNS宕機導致宕機，當然也不會是最后一次。即使是最謹慎和勤奮的網絡架構師和工程師有時也會遺漏一些東西，但他們應該注意并從這些和其他DNS故障示例中學習。您的組織可能已經創建了一個健壯且容錯的DNS設計，其中多個服務器運行在地理上分散的離散網絡上。但是，如果您沒有將BGP作為一個故障點，那么您仍然面臨中斷(或由BGP劫持攻擊)的風險。

那么，您可以做些什么來保護您的企業免受DNS故障的影響，無論是引人注目的故障還是普通的故障？我建議采取以下步驟：

解決有關SPF記錄、DMARC和DKIM的正確DNS配置的“簡單問題”。在SecurityScorecard的評級平臺上，確實有數百萬個可利用的域名和DNS服務器。(我們每天都會掃描所有的IPv4)。觀察到的錯誤配置很容易修復，我們的問題報告可以免費下載，以供貴公司的數字足跡使用。

請務必檢查您的核心服務提供商和第三方供應商的DNS運行狀況和安全狀況。他們對SPoF(即域名系統)的不重視也會擾亂您的業務可用性。

考慮引入DNSSEC，它使用基于公鑰加密的數字簽名來加強對DNS的身份驗證。這將使壞人更難劫持您的流量和冒充您的服務，就像最近發生的一起涉及加密貨幣盜竊的事件一樣。

確保您至少有兩個不同的DNS提供商，它們由不同的自治系統編號(ASN)提供服務。

有許多同樣的例子和故事可以告訴我們，罪魁禍首是域名系統或域名系統安全。對于像我這樣多年來一直構建和管理互聯網服務和網絡的人來說，“永遠都是域名系統”是一句口頭禪。

但我希望你能考慮到以上幾點，而且不會是域名系統。

今日推薦

網絡安全評級

虹科網絡安全評級是一個安全評級平臺，使企業能夠以非侵入性和由外而內的方式，對全球任何公司的安全風險進行即時評級、了解和持續監測。獲得C、D或F評級的公司被入侵或面臨合規處罰的可能性比獲得A或B評級的公司高5倍。虹科網絡安全評級對企業的安全狀況以及任何組織的安全系統中所有供應商和合作伙伴的網絡健康狀況提供即時可見性。

該平臺使用可信的商業和開源威脅源以及非侵入性的數據收集方法，對全球成千上萬的組織的安全態勢進行定量評估和持續監測。網絡安全評級提供十個不同風險因素評分的詳細報告：

• 應用安全
• 端點安全
• CUBIT評分
• DNS健康
• 黑客通訊
• IP信譽
• 信息泄露
• 網絡安全
• 修補頻率
• 社會工程

虹科網絡安全評級為各行各業的大小型企業提供最準確、最透明、最全面的安全風險評級。

虹科是在各細分專業技術領域內的資源整合及技術服務落地供應商。虹科網絡安全事業部的宗旨是：讓網絡安全更簡單！憑借深厚的行業經驗和技術積累，近幾年來與世界行業內頂級供應商Morphisec，DataLocker，Allegro，SSC，Mend，Apposite，Profitap，Cubro，Elproma等建立了緊密的合作關系。我們的解決方案包括網絡全流量監控，數據安全，終端安全（動態防御），網絡安全評級，網絡仿真，物聯網設備漏洞掃描，安全網絡時間同步等行業領先解決方案。虹科的工程師積極參與國內外專業協會和聯盟的活動，重視技術培訓和積累。

此外，我們積極參與工業互聯網產業聯盟、中國通信企業協會等行業協會的工作，為推廣先進技術的普及做出了重要貢獻。我們在不斷創新和實踐中總結可持續和可信賴的方案，堅持與客戶一起思考，從工程師角度發現問題，解決問題，為客戶提供完美的解決方案。