艾銻知識(shí) |如何從運(yùn)營(yíng)角度保障DNS安全

2020-03-09 14:39 作者：admin 瀏覽量：

 
在很久很久以前，有三個(gè)和尚的名字叫阿健、阿財(cái)、阿智。他們正在旅行的路途中，邊走邊談著貓的胡須、太陽的顏色和一個(gè)人怎么才能得到快樂。

這樣，他們就來到了一個(gè)村子里。這是一個(gè)歷經(jīng)了很多苦難的村子，很多的苦難，洪水、戰(zhàn)爭(zhēng)、瘟疫……村民們疲憊不堪了，對(duì)這個(gè)世界再也沒有信心，對(duì)生活再也沒有熱情，別說不和陌生人交往，鄰居之間也彼此猜忌，沒有信任。

村子里有農(nóng)民，有茶商，有讀書人，有女裁縫，有醫(yī)生，有木匠……他們當(dāng)然也都工作，但是都只是為自己的，所以不快樂。

沒有人理睬走進(jìn)村子的和尚們，沒有人歡迎阿健、阿財(cái)、阿智，家家的窗戶都關(guān)得緊緊的。他們敲誰家的門，那么誰家干脆就關(guān)了燈，假裝家里根本就沒有人，假裝睡覺了。

“這些人不懂得什么是快樂。”三個(gè)和尚異口同聲地說。大和尚阿健說:“可是今天，我要讓他們見識(shí)一下怎么煮石頭湯。”他們撿了小樹枝生起火，把小湯鍋架在火上，在鍋里裝滿從井中打來的水。

一個(gè)小姑娘看見了，她問:“你們要干什么呀？”

“我們要煮石頭湯，還得要找三個(gè)又圓又滑的大石頭。”阿智說。

小姑娘幫和尚們?cè)谠鹤永镎业搅怂麄兯氖^，他們把石頭放在鍋?zhàn)永镏蟆?br />
“這幾塊石頭，可以煮出好喝的湯，”阿智說，“但是，我擔(dān)心鍋?zhàn)犹。蟮臏粔蚝取?rdquo;

“我媽有個(gè)大鍋?zhàn)印?rdquo;小姑娘說。小姑娘就跑去對(duì)媽媽說了這事，她媽媽竟然就答應(yīng)了，而且她媽媽還說:“我倒想要學(xué)學(xué)怎么煮石頭湯！”

原來，哪怕是在一個(gè)已經(jīng)沒有熱情的“村子”里，也是有這樣的小姑娘的；雖然同樣是對(duì)生活沒有了信心，但能心那股扔情的小火苗依然在跳動(dòng)著。

小姑娘把大鍋推到了村子的中央，和尚們點(diǎn)燃的柴火青煙飄散開來，他們翻動(dòng)著鍋中的石頭……躲在窗子后面沒有信心和熱情的人們終于打開房門走出了屋子，他們都要看一看，這石頭湯是什么！

這石頭湯是什么呢？

在攪動(dòng)著石頭湯的阿健說，如果加上了鹽和胡椒粉，石頭湯才好喝呢！

一個(gè)眼睛睜得大大看得津津有味的讀書人立即說:“我家里有！”趕緊就跑回去取了，石頭湯里加進(jìn)了鹽和胡椒粉。

阿智嘗了嘗味道，說:“照我們的經(jīng)驗(yàn)，這么大鍋的石頭湯，如果加上一些胡蘿卜，那么湯會(huì)更甜。”

“胡蘿卜？我家里有！”人群中的一個(gè)婦人說，趕忙地跑回家里拿了來，丟進(jìn)了湯里。

“要是放些洋蔥，味道是不是會(huì)更好？”阿財(cái)問。

一個(gè)農(nóng)人跑回家取來了洋蔥。

“再加些蘑菇呢？”

蘑菇也被取了來。而且還紛紛順便地帶來了面條、豌豆和包心菜。

當(dāng)每個(gè)人打開心胸付出時(shí)，其他人付出得更多。就這樣，湯鍋里的東西越來越多，餃子，豆腐，云耳，綠豆，芋頭，冬瓜，大蒜，百合，甚至人們還大喊著應(yīng)該加一點(diǎn)兒醬油！和尚們攪和著咕嘟咕嘟的湯鍋，心里感觸地想著，多么香啊，多么美味啊，村里的人多么懂得付出啊！

湯煮好了。村子里的人聚集在一塊兒。他們帶來了白米飯、饅頭；他們提來了茶水和燈籠。在記憶里，他們從來沒有像現(xiàn)在這樣聚在一起享用過大餐。

盛宴過后，他們說故事，唱歌，一直到深夜。他們不再鎖上門，而是紛紛熱情地邀請(qǐng)和尚們到家里去住，讓他們睡得非常舒服。

一個(gè)溫暖春天的早晨，大家依依不舍地送別阿健阿財(cái)和阿智。“謝謝你們讓我們來做客，你們是最大方的人。”和尚們說。

“應(yīng)該謝謝你們，是你們讓我們懂得了分享，有了永遠(yuǎn)的富足。”村民們說。

“還要想一想，”和尚們說:“快樂就像煮石頭湯一樣容易啊！”

正因?yàn)榭鞓肥沁@樣的容易，離得那么近，所以又有什么災(zāi)難和不幸能夠真的讓人變得灰心喪氣，再也沒有興奮的精神呢？
 
 
 
 
  創(chuàng)業(yè)就是煮一場(chǎng)石頭湯，你有了個(gè)想法，也許這個(gè)想法很一般，也許這個(gè)想法很特別，總有人愿意為那些新奇的想法邁出一步，這也是極其重要的一步，因?yàn)檫@一步給到做湯的人信心和勇氣，他就更堅(jiān)定相信能做出一鍋香濃美味的湯，當(dāng)有越來越多的人加入這家企業(yè)時(shí)，有的人帶來的是才華，有的人帶來的是金錢，有的人帶來的是資源，還有的人帶來的是更多的可能性，就是這樣，在更多人的信任和選擇下，讓這家企業(yè)變得更有味道，變得更有價(jià)值，變得可以成就更多人的夢(mèng)想。
 
人生就是煮一鍋石頭湯，你出生的時(shí)候一無所有，但這不重要，因?yàn)槟銜?huì)慢慢長(zhǎng)大，就能學(xué)會(huì)了講故事，你和小朋友講故事，就讓很多小朋友成為了你的朋友，后來你又和女孩講故事，于是女孩就成為了你的女朋友，再后來你和遇到的每一個(gè)人講故事，于是你就有了工作，有的朋友，有了家庭，有了生活，有了事業(yè)，有了你現(xiàn)在的一切，無論這個(gè)故事是什么，請(qǐng)記住快樂最重要。
你又是如何煮自己人生的石頭湯？
 
艾銻知識(shí) |如何從運(yùn)營(yíng)角度保障DNS安全
眾所周知，DNS作為一項(xiàng)互聯(lián)網(wǎng)基礎(chǔ)業(yè)務(wù)，對(duì)整個(gè)互聯(lián)網(wǎng)的正常運(yùn)行起著至關(guān)重要的作用。當(dāng)然，別有用心的攻擊者也同樣明白這個(gè)道理，總是希望通過各種各樣的攻擊手段破壞DNS解析服務(wù)的正常開展。
如何從不同層面綜合運(yùn)營(yíng)，保證DNS服務(wù)安全高效的運(yùn)行，一直以來都是DNSPod每一位工程師不斷思索的問題。我們認(rèn)為，主要從應(yīng)該從以下幾個(gè)方面入手：
狀態(tài)監(jiān)控
DNS服務(wù)是一項(xiàng)實(shí)時(shí)性要求非常高的服務(wù)，準(zhǔn)確全面的監(jiān)控系統(tǒng)是整個(gè)DNS服務(wù)的運(yùn)營(yíng)基礎(chǔ)。為此，我們?cè)O(shè)計(jì)了一整套的監(jiān)控體系，包括網(wǎng)絡(luò)流量監(jiān)控、服務(wù)器內(nèi)核監(jiān)控模塊、解析監(jiān)控、服務(wù)器集群監(jiān)控等等。從不同層面不同角度對(duì)DNS解析服務(wù)進(jìn)行監(jiān)控，保證工程師能第一時(shí)間了解其運(yùn)行狀態(tài)。在技術(shù)選型方面，我們一方面采用比較成熟的基于SNMP的nagios/cacti監(jiān)控，一方面針對(duì)DNS的特點(diǎn)開發(fā)與解析服務(wù)緊密結(jié)合的監(jiān)控模塊，滿足不同監(jiān)控對(duì)象的需要。
信息告警
DNS服務(wù)運(yùn)行過程中總會(huì)有各種各樣的情況發(fā)生，同一個(gè)事件需要通知到不同的負(fù)責(zé)人，每個(gè)人需要知道的信息也不盡相同。例如在捕獲到域名攻擊事件后，會(huì)馬上向運(yùn)維工程師發(fā)出告警，提示各種層面的流量數(shù)據(jù)。向技術(shù)支持人員發(fā)送攻擊情況概要和受影響的程度，以便用戶詢問情況時(shí)能得到最新信息。針對(duì)VIP客戶，還會(huì)向相關(guān)的銷售人員發(fā)送攻擊相關(guān)數(shù)據(jù)和處理情況，由銷售人員直接與客戶取得聯(lián)系。特別重大的攻擊事件，還會(huì)向市場(chǎng)人員、開發(fā)人員、技術(shù)負(fù)責(zé)人甚至總經(jīng)理發(fā)送，保證信息及時(shí)傳遞，事件能夠及時(shí)處理。為了滿足多樣化的信息發(fā)送需求，我們建立了專門的通知系統(tǒng)平臺(tái)，提供了一致的API接口供各個(gè)程序調(diào)用，能夠提供郵件、微信、短信、語音等多種通知方式。
事件處理
為了及時(shí)響應(yīng)并處理各種事件，為用戶提供持續(xù)的優(yōu)質(zhì)服務(wù)，我們實(shí)行24小時(shí)值班制度。任何時(shí)間都會(huì)有經(jīng)驗(yàn)豐富的技術(shù)人員準(zhǔn)備應(yīng)對(duì)突發(fā)情況。同時(shí)，為了進(jìn)一步加強(qiáng)響應(yīng)效率，自動(dòng)化運(yùn)維處理必不可少。例如，我們對(duì)DNS攻擊做了長(zhǎng)期的研究，開發(fā)了域名封禁/解封、防護(hù)算法、流量引導(dǎo)等多種防護(hù)手段，根據(jù)DNS攻擊的實(shí)際情況自動(dòng)開啟，能在短時(shí)間內(nèi)化解大流量的DNS攻擊，將影響減到最小。
數(shù)據(jù)記錄
當(dāng)然，事件處理完成并不代表著結(jié)束，還需要做好各種記錄，保證可以回顧分析。基本的數(shù)據(jù)包括交換機(jī)流量數(shù)據(jù)、網(wǎng)卡抓包數(shù)據(jù)、事件處理記錄等等，我們對(duì)這些數(shù)據(jù)都做了完整的記錄、備份、整理、歸檔，這樣不但任何問題都有據(jù)可查，也為進(jìn)一步的統(tǒng)計(jì)分析做好了準(zhǔn)備。因?yàn)閿?shù)據(jù)量大、種類多，我們比較多的使用了Redis和MongoDB，其存NoSQL的特點(diǎn)特別適用于這個(gè)情況。
綜合運(yùn)營(yíng)數(shù)據(jù)分析
除了短時(shí)間的針對(duì)單個(gè)事件的應(yīng)對(duì)策略，運(yùn)營(yíng)更需要長(zhǎng)期的數(shù)據(jù)記錄與分析。我們每天的運(yùn)營(yíng)情況都會(huì)以報(bào)表的形式呈現(xiàn)出來，對(duì)域名解析量、用戶數(shù)量、攻擊情況等數(shù)據(jù)更有長(zhǎng)時(shí)間的追蹤和趨勢(shì)分析。如根據(jù)攻擊趨勢(shì)的分析加強(qiáng)防攻擊投入，根據(jù)用戶轉(zhuǎn)入/轉(zhuǎn)出情況聯(lián)系銷售人員跟進(jìn)。這里我們使用了Graphite用于繪圖，D3.js在繪制報(bào)表方面也有很好的表現(xiàn)。
總的來說，DNS服務(wù)有其復(fù)雜性和特殊性，DNSPod長(zhǎng)期專注于DNS解析業(yè)務(wù)，在此領(lǐng)域有豐富的經(jīng)驗(yàn)和深厚的積累，希望上述分享能給每一位關(guān)心DNS領(lǐng)域的朋友帶來益處，共同創(chuàng)造更美好的互聯(lián)網(wǎng)環(huán)境。