暗网潜航——facebook事故
庞博文
2021-10-11 18:03 HKT
字体大小
上星期facebook(fb)、Instagram及WhatsApp断线近7小时,记者及相关部门人士纷纷向我查询是否被网络攻击、有否泄漏资料。据系统连结回安全监控中心的网络势态分析报告,他们只是DNS配置BGP错误而无法引导路径到facebook服务系统,亦因为所有系统共同分享相同的BGP令到工程师无法进行远端复修,需要亲身到数据中心修改配置再重新发布DNS地址到互联网来恢复服务。
很多读者可能不太了解甚么是DNS及BGP。DNS为「网域名称系统(Domain Name System)」,是用来对照域名和IP地址,使用者只须打英语域名便可以自动对应IP地址,是一个重要的路牌。而BGP为「边界闸道器协定(Border Gateway Protocol)」,是使用基于路径、网络策略或规则集来决定路由路径的一种协定,令服务使用者和访问者转向至最畅顺和快速的网络路径。
简单来说DNS和BGP是路牌指向和最佳路径分流方式。这对facebook非常重要,当配置错误便会出现大家眼前的情况。笔者建议他们在IT服务维护上应改善把外部和内部的所有管理系统倚赖同一套路由分配,当配置规则稽查系统同时失去功效时便会构成了单点故障。以facebook服务的覆盖率,这是绝对不容许。此外,我惊讶全球各地有很多Enduser及公司,是单向倚赖facebook及其相关服务作为单一通讯手段,这绝对不健康。倚赖单一服务供应商并没有保障,应考虑Plan B作为保障手法。
有人批评今次facebook修复服务时间太长,但一般重新在网络上进行DNS域名发布至整个互联网需要72个小时以上,facebook仅6个小时就恢复服务,已经很厉害了。
TOZ联合创办人
庞博文
很多读者可能不太了解甚么是DNS及BGP。DNS为「网域名称系统(Domain Name System)」,是用来对照域名和IP地址,使用者只须打英语域名便可以自动对应IP地址,是一个重要的路牌。而BGP为「边界闸道器协定(Border Gateway Protocol)」,是使用基于路径、网络策略或规则集来决定路由路径的一种协定,令服务使用者和访问者转向至最畅顺和快速的网络路径。
简单来说DNS和BGP是路牌指向和最佳路径分流方式。这对facebook非常重要,当配置错误便会出现大家眼前的情况。笔者建议他们在IT服务维护上应改善把外部和内部的所有管理系统倚赖同一套路由分配,当配置规则稽查系统同时失去功效时便会构成了单点故障。以facebook服务的覆盖率,这是绝对不容许。此外,我惊讶全球各地有很多Enduser及公司,是单向倚赖facebook及其相关服务作为单一通讯手段,这绝对不健康。倚赖单一服务供应商并没有保障,应考虑Plan B作为保障手法。
有人批评今次facebook修复服务时间太长,但一般重新在网络上进行DNS域名发布至整个互联网需要72个小时以上,facebook仅6个小时就恢复服务,已经很厉害了。
TOZ联合创办人
庞博文
更多文章