科技日報記者 朱麗

當(dāng)?shù)貢r間10月4日，F(xiàn)acebook 及其旗下Instagram和WhatsApp等應(yīng)用全網(wǎng)宕機，停機時間近7小時，瀏覽器在嘗試打開時顯示DNS錯誤。Facebook官方發(fā)布聲明稱，因更新BGP路由器導(dǎo)致DNS權(quán)威服務(wù)器離線進而造成長達(dá)7個小時之久的中斷事故。

北京郵電大學(xué)計算機學(xué)院（國家示范性軟件學(xué)院）信息網(wǎng)絡(luò)中心路由安全研究團隊聯(lián)合互聯(lián)網(wǎng)域名系統(tǒng)國家工程研究中心（ZDNS）專家通過對事件當(dāng)天的路由報文進行回溯分析，簡單還原整個事件發(fā)生的過程，并從互聯(lián)網(wǎng)基礎(chǔ)設(shè)施分布的均衡性和冗余性方面對路由維護、監(jiān)測與防御、域名系統(tǒng)冗余設(shè)計等方面提出一些建議。本次技術(shù)分析部分成果來源于國家重點研發(fā)計劃“大規(guī)模安全可信的編址路由關(guān)鍵技術(shù)和應(yīng)用示范”項目課題“網(wǎng)間互聯(lián)可信路由關(guān)鍵技術(shù)與設(shè)備研發(fā)”，該課題主要研究網(wǎng)間互聯(lián)可信路由關(guān)鍵技術(shù)，支持域間路由行為安全協(xié)作和攻擊防范。

BGP和DNS偶發(fā)性事故聯(lián)動是主因

分析發(fā)現(xiàn)，F(xiàn)acebook重要服務(wù)的域名解析失效了，導(dǎo)致大量的Facebook應(yīng)用服務(wù)訪問不可達(dá)，另外一個嚴(yán)重的問題是Facebook AS32934相互依賴的服務(wù)中間件和審核軟件開始失效，從而導(dǎo)致整個數(shù)據(jù)中心的網(wǎng)絡(luò)崩潰，最后不得己以物理的暴力方式進入機房恢復(fù)設(shè)備。研究認(rèn)為，此次事件的主角是BGP和DNS偶發(fā)性事故聯(lián)動造成的重大事件。

專家進一步解釋說，BGP和DNS作為網(wǎng)絡(luò)空間的基礎(chǔ)設(shè)施，是網(wǎng)絡(luò)空間的命門所在，猶如人體的動靜脈，聯(lián)動性的故障必然造成規(guī)模性失血，持續(xù)時間長且極具破壞性的中斷通常可以歸咎于控制平面的某些問題。

分析還發(fā)現(xiàn)，從互聯(lián)網(wǎng)碼號資源分配看，F(xiàn)acebook主要有三個自治域，從地址前綴分布可以看出，AS32934是Facebook的主力AS，我們通過分析FDNS日志，發(fā)現(xiàn)該自治域集中了Facebook大部分的應(yīng)用服務(wù)，令人費解的是，F(xiàn)acebook所有的DNS權(quán)威服務(wù)器全部位于AS32934中。“這相當(dāng)于把所有雞蛋都放進了一個籃子中，一旦出現(xiàn)問題，后果非常嚴(yán)重。”專家說。

為了做進一步的深入分析，研究團隊基于Alexa網(wǎng)站排名從全球6個測量點對全球Top1000網(wǎng)站的權(quán)威服務(wù)器分布進行了測量。

“我們挑選了Top30網(wǎng)站，從權(quán)威DNS地址分布、前綴聚合分布、AS聚合分布進行數(shù)據(jù)分析，發(fā)現(xiàn)國外很多重要應(yīng)用服務(wù)網(wǎng)站大都存在類似Facebook的問題，這里amazon.com例外，它的權(quán)威分布冗余度較高，這可能與2018年亞馬遜權(quán)威DNS遭遇BGP劫持教訓(xùn)有關(guān)。”專家表示，國內(nèi)的主流網(wǎng)站防護比較好，基本都有冗余備份。

隨后，聯(lián)合研究團隊又把數(shù)據(jù)擴展到Top100網(wǎng)站，Top1000網(wǎng)站，整體冗余情況也很不樂觀，Top100網(wǎng)站中有超過50%的網(wǎng)站DNS權(quán)威冗余度較低，Top1000網(wǎng)站中有接近70%的網(wǎng)站權(quán)威服務(wù)器集中在單一自治域中。

多措共舉，防范于未然

通過事件的回溯分析，專家認(rèn)為，BGP和DNS的一系列巧合操作造成了此次事件的嚴(yán)重后果，因此可以看到BGP和DNS誤操作的“網(wǎng)絡(luò)核彈”威力。為此，聯(lián)合研究團隊在路由維護、事件監(jiān)測防御以及DNS冗余度方面，提出以下建議：

一是路由維護。BGP路由作為網(wǎng)間互聯(lián)互通的基本協(xié)議，簡單而不簡約。任何自動化的操作，如果沒有全局的知識庫作為路由過濾的支撐，比較容易發(fā)生錯誤的配置，需要對危害性的命令有“特別嚴(yán)格”地警示和確認(rèn)。

二是路由監(jiān)測與防御。目前著名的路由監(jiān)測平臺如BGPStream、ThousandEyes、Downdectcor都可以檢測出事件的發(fā)生，然而大部分系統(tǒng)關(guān)注的是事件的漏報率和誤報率，忽視了事件所涉及前綴的敏感度以及前綴的歸屬責(zé)任人。建議建立敏感前綴管理人的臺賬機制，能在事件發(fā)生的第一時間通知管理人，這是路由安全防御的有效防范手段。

三是域名系統(tǒng)冗余設(shè)計。DNS系統(tǒng)的本質(zhì)是一個分布式的數(shù)據(jù)庫，這種結(jié)構(gòu)允許對整體數(shù)據(jù)庫的各個部分進行本地控制且互相關(guān)聯(lián)。如亞馬遜amazon.com的權(quán)威域授權(quán)體系在多元化層面要優(yōu)于facebook.com，所以其抗風(fēng)險能力要強于Facebook。另外，DNS系統(tǒng)在架構(gòu)設(shè)計和技術(shù)路線選擇時要盡量避免采用單一化架構(gòu)和技術(shù)，應(yīng)從部署形式和部署位置等層面考慮技術(shù)多元性。

四是域名體系管理“頂層設(shè)計”。根據(jù)互聯(lián)網(wǎng)已披露信息，事發(fā)期間Facebook除了面向互聯(lián)網(wǎng)公開的業(yè)務(wù)受到影響，其面向內(nèi)部的業(yè)務(wù)（會議系統(tǒng)、認(rèn)證系統(tǒng)等）貌似也受到影響，從而可以推斷其DNS系統(tǒng)不但承載外部業(yè)務(wù)域名，還承載了大量面向內(nèi)網(wǎng)的域名解析，進而加劇了故障修復(fù)時間。這提醒我們域名體系的管理必須要從頂層設(shè)計開始，基于業(yè)務(wù)面向的對象、重要性、所屬安全隔離域等因素規(guī)范域名空間及資源的劃分和使用。

五是域名體系風(fēng)險控制。本次Facebook出現(xiàn)如此嚴(yán)重的故障，在運維管理層面也有值得反思之處。如域名的TTL值大小在應(yīng)用層面決定著能切換和調(diào)度的速度，應(yīng)用側(cè)一定希望越短越好，而從DNS系統(tǒng)運維層面看則是時間越短，遞歸DNS的緩存時間也會越短，一旦權(quán)威DNS出現(xiàn)問題，域名整體服務(wù)的容錯能力會大幅降低。另外，互聯(lián)網(wǎng)域名服務(wù)體系解析邏輯嚴(yán)謹(jǐn)，想要完成從客戶端到服務(wù)端的業(yè)務(wù)訪問和交互，需經(jīng)過由終端到遞歸DNS、遞歸DNS從根、頂級域到二級域，再到權(quán)威DNS的多層查詢。想要完成整個業(yè)務(wù)接入訪問，任何一個環(huán)節(jié)出現(xiàn)問題都會導(dǎo)致業(yè)務(wù)不可用。應(yīng)重視自身權(quán)威系統(tǒng)的管理外還應(yīng)加強域名體系各層級的狀態(tài)監(jiān)測和感知。

關(guān)鍵詞： Facebook 宕機 7小時 災(zāi)難性