7月22日,美國東部時間11:45(北京時間23:45),全美再次出現(xiàn)一次重大的互聯(lián)網(wǎng)(Internet,下同)斷服斷網(wǎng)事件。據(jù)稱,該事件幾乎影響了包括金融、航空、物流、消費在內(nèi)的各個領(lǐng)域,使得至少50個美國主要網(wǎng)站和一些國際(跨國)公司網(wǎng)站服務(wù)器“崩潰”。這次斷服事件是繼6月17日由于Akamai(阿卡邁)公司的“技術(shù)故障”,導(dǎo)致一些銀行和航空公司受到斷服斷網(wǎng)影響后,又一起大規(guī)模互聯(lián)網(wǎng)斷服斷網(wǎng)事件,而“罪魁禍首”還是Akamai。1)7月22日,Akamai在其官方微博發(fā)布對上述事件的如下總結(jié):2021年7月22日15:45(國際標準時間,UTC),由于我們對軟件配置的更新觸發(fā)了“安全邊緣內(nèi)容分發(fā)網(wǎng)絡(luò)”(CDN)中的一個錯誤,影響了該網(wǎng)絡(luò)的域名服務(wù)系統(tǒng)(DNS),DNS是將瀏覽器的應(yīng)用請求定向到特定服務(wù)的網(wǎng)站。因此導(dǎo)致影響某些客戶網(wǎng)站可用性的中斷,中斷持續(xù)了一個小時。在回歸軟件更新前的配置狀態(tài)后,服務(wù)恢復(fù)正常運行。我們確認,這不是針對Akamai平臺的網(wǎng)信攻擊。我們對于由此帶來的不便,深表歉意。我們正在審查內(nèi)部的軟件更新流程,以防止未來出現(xiàn)類似的錯誤。經(jīng)過進一步調(diào)查,確定該技術(shù)故障與Akamai“安全邊緣內(nèi)容分發(fā)網(wǎng)絡(luò)”(CDN)中的DNS無關(guān)。
二、思科“千眼”的監(jiān)測和觀察以及定量和定性的分析
“千眼”(Thousand Eyes)是思科公司(Cisco,全球的網(wǎng)絡(luò)解決方案及核心設(shè)備供應(yīng)商)的一個互聯(lián)網(wǎng)絡(luò)實時監(jiān)測平臺,對由于Akamai“技術(shù)故障”導(dǎo)致大規(guī)模斷服斷網(wǎng)另有定量的分析,對Akamai的“事件總結(jié)”有獨立的見解。7月22日,“千眼”就當(dāng)天斷服斷網(wǎng)事件發(fā)布分析報告“Akamai邊緣DNS的斷服分析”,其概要強調(diào):了解7月22日Akamai的邊緣DNS斷服是如何發(fā)生的真相,為什么相同的斷服方式卻導(dǎo)致不同的服務(wù)體驗,以及應(yīng)該從這次斷服事件中吸取的三個教訓(xùn)。7月22日,太平洋時間上午8點38分左右,Akamai的邊緣DNS(是將用戶定向到其CDN邊緣服務(wù)器的關(guān)鍵服務(wù))發(fā)生斷服,導(dǎo)致全球用戶無法訪問其客戶的站點。試圖訪問托管在Akamai站點的用戶收到錯誤消息,顯示所請求的域名無法解析為IP地址。大約一小時后,太平洋時間上午9點45分,該問題被解決,服務(wù)恢復(fù)(以下簡稱“斷服事件”)。通過域名系統(tǒng)(DNS)將域名解析為IP地址,是訪問網(wǎng)絡(luò)資產(chǎn)的關(guān)鍵第一步。雖然Akamai邊緣DNS斷服的時間不算長,但是所影響的范圍卻很廣泛,大量網(wǎng)站和應(yīng)用程序,從游戲到主要銀行、航空公司等,完全或間斷性地?zé)o法訪問。盡管在Akamai DNS 斷服期間,其CDN邊緣基礎(chǔ)設(shè)施(服務(wù)器)仍保持著運行,但是,如果沒有CDN邊緣DNS的權(quán)威域名服務(wù)器解析域名,用戶就無法訪問被托管在Akamai的網(wǎng)站和應(yīng)用程序。在斷服事件期間,“千眼”觀察到網(wǎng)站和應(yīng)用程序被斷網(wǎng)的數(shù)量激增,所有這些網(wǎng)站和應(yīng)用程序都是被托管在Akamai的服務(wù)器上。
【譯注:“自治系統(tǒng)”是在互聯(lián)網(wǎng)中互聯(lián)互通的網(wǎng)絡(luò)基本單元,是可以獨立管理的網(wǎng)絡(luò)單元,也被稱為是一個路由選擇域,由包括路由器、交換機、服務(wù)器等基礎(chǔ)設(shè)施組成。每一個自治系統(tǒng)都被分配全球唯一的編號(ASN),亦是被統(tǒng)一管理的互聯(lián)網(wǎng)數(shù)字化資源。Akamai在全球有多個自治系統(tǒng),圖1中的自治系統(tǒng)AS16625在美國,自治系統(tǒng)AS20940在荷蘭。】
“千眼”還進一步觀察到Akamai CDN的邊緣DNS無法提供在Akamai CDN中所托管域名的解析服務(wù)。DNS在CDN數(shù)據(jù)流管理中的作用域名系統(tǒng)(DNS)將人類可讀的域名(例如“example.com”)映射到IP地址。CDN提供商通常使用DNS來平衡其基礎(chǔ)架構(gòu)中的流量負載,并根據(jù)終端用戶的地理位置、服務(wù)器可用性或性能以及其他因素將用戶重定向到最佳的邊緣服務(wù)器。以這種方式使用DNS,互聯(lián)網(wǎng)服務(wù)提供商必須:1)在其CDN的分布節(jié)點中掌控DNS記錄。2)托管服務(wù)和數(shù)據(jù)的企業(yè),通常會將諸如“www”(網(wǎng)站)之類的域名配置為“別名”(CNAME)記錄,該記錄可能指向其他CNAME,并最終以提供IP地址的A記錄結(jié)束域名解析服務(wù)。3)這種分層方法允許CDN服務(wù)提供商(或代理商)控制客戶端所接收CDN中的IP地址,并具有對所提供端到端的最終連接IP地址更改的動態(tài)性和靈活性,以優(yōu)化客戶端的“加速”體驗。例如,“千眼”使用Akamai的CDN服務(wù)托管門戶網(wǎng)站“www.thousandeyes.com”。此域名被解析為Akamai邊緣DNS的“edgekey.net”區(qū)域中的CNAME。該CNAME再被解析為“akamaiedge.net”區(qū)域中的Akamai CNAME,然后該域名被解析為連接CDN邊緣服務(wù)器IP地址的DNS的A記錄(圖3)。一旦CDN的DNS斷服,那么CDN邊緣服務(wù)器實際上也將無法訪問。這就是Akamai的DNS斷服事件期間發(fā)生的情況,而不論客戶和用戶被斷網(wǎng)的影響程度可能存在的多種各異因素。由斷服造成斷網(wǎng)的現(xiàn)象形形色色Akamai是全球頂級CDN提供商之一,擁有龐大的客戶群,從大型銀行和“軟件作為服務(wù)”(SaaS)提供商,到亞馬遜等主要電子商務(wù)網(wǎng)站。在斷服事件期間,“千眼”觀察到使用Akamai服務(wù)的網(wǎng)站(或站點)之間的影響存在顯著差異,其中一些網(wǎng)站保持著更高的可用性。在DNS斷服期間,一些Akamai客戶網(wǎng)站(例如圖4中所示的網(wǎng)站)呈現(xiàn)斷網(wǎng)。這些客戶所托管的站點完全依賴于Akamai的DNS和CDN服務(wù),使得請求與這些站點的所有連接都返回DNS解析錯誤,或在嘗試訪問客戶權(quán)威域名服務(wù)器時出現(xiàn)超時錯誤。而在斷服事件開始之前已經(jīng)與CDN服務(wù)或其他客戶站點建立會話的用戶不會受到影響,因為他們已經(jīng)查詢并接收了對DNS記錄的響應(yīng)。只有新的域名查詢請求(即通過DNS的解析服務(wù)開始建立與網(wǎng)站或站點的連接)才會遭遇“斷網(wǎng)”。并非每個Akamai客戶都受到類似的影響。亞馬遜的電子商務(wù)網(wǎng)站幾乎沒有受到斷服事件的影響。與上述客戶的不同之處在于,亞馬遜使用多元化的CDN提供商來托管其站點的內(nèi)容,并利用自有的DNS服務(wù)來平衡每個CDN提供商之間的流量。這種結(jié)構(gòu)有如下優(yōu)點:● 多元化的CDN提供商可能具有不同的地理覆蓋范圍或經(jīng)過優(yōu)化以提供某些類型的內(nèi)容;● 多元化的CDN提供商可以共同提供更多選項來優(yōu)化用戶的內(nèi)容分發(fā);● 多元化CDN的方法還可以提高站點彈性,因為可以避免單個CDN服務(wù)提供商成為潛在的單點故障。
亞馬遜能夠在整個斷服事件期間將流量分配給其他CDN提供商,這種多元化方式似乎使其客戶和用戶免于遭受斷網(wǎng)影響(圖5)。在斷服事件期間,亞馬遜并未完全取消通過Akamai CDN的內(nèi)容分發(fā),而是利用其中某些邊緣服務(wù)器的托管內(nèi)容,并沒有降低用戶體驗(圖6)。另一家電子商務(wù)提供商在斷服事件期間仍然可以聯(lián)網(wǎng),但是由于等待DNS響應(yīng)的時間過長,使得訪問該網(wǎng)站的用戶在頁面加載時間更長(圖7)。雖然這家電子商務(wù)提供商將繼續(xù)應(yīng)用Akamai CDN作為其站點的根對象(root object),但是利用其他CDN服務(wù)提供商來處理其頁面元素(page elements)的重要部分。Akamai的邊緣DNS斷服事件再一次地警示,斷服責(zé)任不僅僅是由服務(wù)提供商承擔(dān)。無論使用哪個運營商或服務(wù)商,斷服都是不可避免的。但是,機構(gòu)和單位、行業(yè)和企業(yè)可以、而且應(yīng)該采取措施,通過實施對關(guān)鍵服務(wù)的冗余保障并制定備份計劃以解決不可避免的意外斷服的問題,從而降低其數(shù)字化業(yè)務(wù)和服務(wù)的安全風(fēng)險。從這次斷服事件中應(yīng)汲取的三個重要教訓(xùn):1)關(guān)鍵服務(wù)應(yīng)采用冗余的服務(wù)提供商的方案,例如CDN和DNS。多元化的CDN提供商可以提高服務(wù)彈性,并改進用戶的體驗。在斷服事件中,基于多元化CDN服務(wù)提供商的Akamai客戶遭受此次斷網(wǎng)的影響最小。2)一旦事件不可避免地發(fā)生了,能夠有備應(yīng)對。即使已實施了最佳實踐、具有備份的服務(wù)體系架構(gòu),但是無法預(yù)見的事故或事件仍然是不可避免的。因此,還必須制定處理突發(fā)事件的應(yīng)急行動手冊,以最大限度地減少斷服時間或斷網(wǎng)影響。3)確保主動地掌握所屬網(wǎng)站、客戶端以及關(guān)鍵的依賴關(guān)系,以便清晰地了解在何時實施備份計劃;對所有應(yīng)用程序組件(包括構(gòu)成服務(wù)交付鏈中的任何第三方依賴關(guān)系)的可視化,能夠提供最有效的方法以確定何時啟動備份計劃、知道執(zhí)行什么策略,對于避免或緩解斷服斷網(wǎng)的損失至關(guān)重要。
三、對“深度依賴”現(xiàn)象和狀況的再警示
請注意,“千眼”觀察到的斷網(wǎng)網(wǎng)站和應(yīng)用程序的數(shù)量“激增”,其中包括中國(17個,圖1)。但是,國內(nèi)并沒有直接感受到此次斷服的明顯影響,其中一個主要原因是:斷服發(fā)生時是北京時間23:45(午夜時分)。而國內(nèi)托管在Akamai CDN的業(yè)務(wù)和服務(wù)(網(wǎng)站、站點、郵件服務(wù)器和數(shù)據(jù)庫的數(shù)量)遠超出17個,沒有遭受到斷服事件的影響,僅僅是在時間差上的一次“僥幸”。試想,如果發(fā)生在北京時間白天9:45-15:45之間,會是怎樣?如果是網(wǎng)信攻擊,又會是怎樣?“千眼”定量分析的問題根源具有普遍性,定性分析的教訓(xùn)警示具有典型性,值得高度警惕,并亟待采取相應(yīng)措施。反之,倘若仍抱著“無所謂”的觀望態(tài)度,“不可避免”的斷服事件(如CDN和DNS)再次發(fā)生,如果沒有時間差“僥幸”的眷顧,而是針對性地網(wǎng)信攻擊,必將波及你、我、他,后果不堪設(shè)想。我們已在早前的《Fastly和Akamai斷服斷網(wǎng)深層原因的分析》一文中提出:“零信任”不僅是網(wǎng)信三元組(triad)“安全性、隱私性和合規(guī)性”的關(guān)鍵基礎(chǔ),而且是信任與信賴的(杠桿)支點,以及對避免“深度依賴”技術(shù)和服務(wù)的權(quán)衡點。在構(gòu)建多元化的“服務(wù)交付鏈”(Service Delivery Chain)中,尤其需要重視的是對“任何第三方的依賴關(guān)系”,包括信息和通信技術(shù)供應(yīng)鏈(ICT Supply Chain)。其中,在核心技術(shù)和關(guān)鍵服務(wù)中,任何以“馬甲”形式的變通(Workaround)“包裝”,都無疑是自掘自留的安全漏洞和自行埋藏的安全隱患。綜上,基于事件驅(qū)動、問題導(dǎo)向,再次鄭重建議:1)對國家關(guān)鍵基礎(chǔ)設(shè)施的網(wǎng)信業(yè)務(wù)應(yīng)自上而下地審視并重構(gòu)服務(wù)系統(tǒng)結(jié)構(gòu),在避免“深度依賴”(尤指CDN和DNS)的同時,由一體化的指揮和控制指導(dǎo),向多元化技術(shù)和服務(wù)體系的過渡轉(zhuǎn)型。2)在關(guān)鍵數(shù)據(jù)安全保障中,重塑甲方和乙方的關(guān)系,建立共同擔(dān)當(dāng)責(zé)任的常態(tài)化機制和賦能,以避免或緩解“無法預(yù)見”的安全事故或單方面“不可避免”的安全事件,有備無患(少患)。3)加強對基于彌補缺失和短板的核心技術(shù)的積累性自主研發(fā),主動且切實地落實對“任何第三方依賴關(guān)系”的可視化管理和監(jiān)督。此外,從上述CDN引發(fā)的斷服斷網(wǎng)事件中,另一個關(guān)聯(lián)的網(wǎng)絡(luò)安全問題必須且應(yīng)該得到高度關(guān)注(和糾偏)。近年來,不論是美國或是歐洲,也不論是美國國家安全局(NSA)/網(wǎng)信安全與基礎(chǔ)設(shè)施安全局(CISA)或是境外安全企業(yè),發(fā)布的所有安全警報和分析報告,無不是以戰(zhàn)術(shù)、技術(shù)和過程(簡稱TTP)作為溯源、定位和畫像的基本手段,并由此給出漏洞指標(IOC)、解決方法和緩解建議。其中,IP地址多是與域名和自治系統(tǒng)相關(guān)聯(lián)(或是通過多源DNS記錄的反向分析),而傳統(tǒng)的IP地址屬性己被賦予動態(tài)可變性,即不再具有網(wǎng)絡(luò)通信端到端連接標識的唯一性。例如:在CDN中通過域名系統(tǒng)(DNS)的“別名”(CNAME)轉(zhuǎn)換之“旋轉(zhuǎn)門”。因此,把遭受攻擊(或安全事件)的證據(jù)簡單地歸咎于IP地址屬地的方式或方法,如同于“有罪推定”(缺乏類似TTP的證實和證據(jù)),既約束了已方的認知和能力(甚至是誤導(dǎo)),也難以形成對彼方的警告和威懾(或是反制)。尤其是,在信息通信技術(shù)和服務(wù)(ICTS)供應(yīng)鏈中,任何技術(shù)缺陷或人為失誤,都可能是導(dǎo)致斷服斷網(wǎng)的單點故障;而在網(wǎng)信空間(Cyberspace)非常規(guī)作戰(zhàn)的能力,已經(jīng)形成攻防一體(或推進防御)的模式和實戰(zhàn)。為此,應(yīng)該且必須形成必要的認識和共識:網(wǎng)信安全的風(fēng)險管理,不是單調(diào)的技術(shù)性問題,更不是空洞的口號與吶喊。空話誤國,實干興邦。“沒有意識到風(fēng)險是最大的風(fēng)險”,明知風(fēng)險不能腳踏實地務(wù)實地直面盲區(qū)、解決問題、排除隱患、預(yù)防風(fēng)險(將風(fēng)險因素降到最小、最低),也許就是在自覺或不自覺地禍國誤民。(作者:邱實,網(wǎng)絡(luò)信息安全技術(shù)專家;牟承晉,昆侖策研究院高級研究員、中國移動通信聯(lián)合會國際戰(zhàn)略研究中心主任。來源:昆侖策網(wǎng)【原創(chuàng)】,作者授權(quán)發(fā)布)
【昆侖策研究院】作為綜合性戰(zhàn)略研究和咨詢服務(wù)機構(gòu),遵循國家憲法和法律,秉持對國家、對社會、對客戶負責(zé),講真話、講實話的信條,追崇研究價值的客觀性、公正性,旨在聚賢才、集民智、析實情、獻明策,為實現(xiàn)中華民族偉大復(fù)興的“中國夢”而奮斗。歡迎您積極參與和投稿。
電子郵箱:gy121302@163.com
更多文章請看《昆侖策網(wǎng)》,網(wǎng)址:
http://www.kunlunce.cn
http://www.jqdstudio.net
特別申明:
1、本文只代表作者個人觀點,不代表本站觀點,僅供大家學(xué)習(xí)參考;
2、本站屬于非營利性網(wǎng)站,如涉及版權(quán)和名譽問題,請及時與本站聯(lián)系,我們將及時做相應(yīng)處理;
3、歡迎各位網(wǎng)友光臨閱覽,文明上網(wǎng),依法守規(guī),IP可查。
馮軍被停職,暴露出官場有這樣一類人
定向爆破成功 華東堡壘終被攻陷
朱亞夫:謹防 “互聯(lián)網(wǎng)-”
王毅:中美關(guān)系須撥亂反正,重回正軌(全文)
