阿里安全工程师叫什么用

作者：张泽华
来源：知乎
业务需要
为什么说是业务需要？
-先来了解下阿里在上线AliDNS之前已经做了哪些事儿。
阿里的架构变迁可以说是针对业务的一次完整进化。从最初的单台跑起少量的业务开始，到今年571亿的双十一绝不是一蹴而就的。作为一家较大的电商网站在互联网应用中要面对极多问题：高并发，高可用，安全环境较差，客户分布广泛，网络环境较为复杂等等。
为满足复杂的需求，网站的架构逐渐从单机服务演进到：前端是各地的CDN集群，连接各反向集群，连接负载均衡集群，接下来将访问请求转到按照业务划分的应用集群上，通过队列集群传到分布式服务集群上，通过缓存或一致数据访问模块连接到数据源：分布式缓存、分布式数据库、分布式文件集群，外加NoSQL和搜索引擎等等。
/*/*大致就这么个意思，尤其突出了DNS的作用*/
架构演进到这里不难发现有两个明显的特点：分层化和分布式。优秀的工程师们将这种能够应对复杂业务逻辑和数据处理的海量数据和高并发的架构进一步设计为平台化的方式，不仅能够服务当前企业，还能够将资源作为一种产品出售，这样让各类小型网站享有架构便利的同时只要按需付费即可。这样，阿里云就诞生了，其实它是技术演进过程中的一个必然产物，这也不难理解Google、Amazon、Alibaba等超大规模互联网公司对外提供的云计算服务。
DNS服务是将阿里的域名解析成IP地址，不仅可以利用DNS实现DNS的负载均衡，并且在配置商CDN机房时也是重要的一部分。DNS技术属于前端架构甚至更前的一部分，不难看出一个大型网站在提供好扎实的应用层和数据层服务后亟待解决的是访问的问题，访问安全问题也是伴随着要解决的问题之一。
所谓访问的问题：
<能够保证客户顺利的连接上网站
<能够保证整个过程的安全
<快
DNS服务了什么？
贴一下阿里DNS的自我介绍：阿里DNS
阿里公共DNS简介
阿里公共DNS是阿里巴巴集团推出的DNS递归解析，目标是成为国内互联网基设施的组成部分，面向互联网用户提供“快速”、“稳定”、“智能”的免费DNS递归解析服务。
一、DNS简介
DNS是互联网上存储域名与IP映关系的一个分布式数据库。使用DNS，用户可以方便的用域名访问互联网，而不用关心复杂难记的IP地址。通过域名获取对应IP地址的过程叫域名解析。
域名解析一个相对复杂的过程，需要多个环节，遍历多个DNS，才能获取域名的IP地址。解析过程见下图：
二、用户使用DNS面临的问题
从域名解析过程可以看到，用户打交道最多的就是Local DNS，它负责接收用户的请求，代替用户遍历其他DNS，获得结果后返回客户，并做一定时间的缓存，在下次请求时直接应答。
大部分用户使用的Local DNS是用户在接入网络时由ISP自动分配的。存在几方面问题：
三、阿里提供公共DNS服务的优势四、阿里公共DNS的特点
快速:
稳定:
智能:
结束语
阿里公共DNS的目标是成为国内互联网基设施的组成部分，为国内互联网的健壮、稳定、快速贡献我们的力量。
结合阿里优质CDN资源和精准的IP地址库，让用户访问到较近的网站。
异地多机房高可用架构。
基于DPDK自主研发的高能DNS。
Aliguard多种攻击防御策略。
持久化保存热点记录，当“根”或域名的权威DNS出现异常后，阿里公共DNS具备快速恢复正常访问的能力。
通过B anycast技术，让用户访问到离自己较近的DNS集群。
主动同步com/net域名、万网注册域名的变更，减小ttl时间的影响，快速访问到正确的记录。
主动缓存热点域名的，提高查询CACHE命中率，减少递归过程，快速应答。
阿里在全国有优质的机房、网络、带宽等互联网基设施资源。
阿里建设和着全国最大的CDN网络，对互联网流量调度有丰富的经验。
阿里旗下万网是国内最大的域名注册商，着几百万域名。同时有丰富的DNS经验。
阿里拥有大量优秀的技术人才，有非常强的自主研发能力和运维保障能力。
首次查询或缓存过期后的查询，需要遍历多个互联网上多个DNS才能得到结果，查询时间较长，影响用户的访问速度。
域名解析的环节较多，其中任何一点出现问题，都可能会导致解析异常，进而影响用户对互联网的访问。
Local DNS会对获取的结果做一定时间缓存，当域名员对域名对应的IP地址调整后，Local DNS不能马上感知，还会用缓存中老的地址应答，可能导致访问出错。
当前互联网上CDN很多都是根据Local DNS的地址来调度。有些ISP的Local DNS并不直接去递归解析，而是转发到其他Local DNS上，可能导致CDN调度不准确，使用户不能访问到最快的站点。
ISP不是专业的DNS服务商，提供的Local DNS可能出现能、稳定等方面的问题。另外，益频繁的DNS攻击，也会导致Local DNS出现宕机、劫持等情况。这些都会影响客户的上网体验。
部分ISP通过DNS劫持做广告植入，给用户带来较差的体验。
简单翻译一下就是：
<我家DNS速度快。| 特别是保证秒杀反应快
<域名解析到我这里谱。| 特别双十一不瘫痪
<我的数据更新快。
<根据我的GeoDNS能够知道你到底是从哪里访问的，给你一个最快的服务。
<我的DNS特别稳定。
<有些无良的DNS提供商会给你乱装软件，乱弹窗口，卖假药什么的。
调侃一句：如果说下一步阿里要做什么，估计是要自己做Tier 1商了。
-入点技术部分-
DNS迭代，递归查询是啥？
出于资源消耗和响应速度的综合考虑，一般来说从主机到本地DNS是递归查询，从本地DNS到其他DNS是迭代查询。
详细解释：DNS 查询的工作原理
B anycast是啥？
从域名可以解析出来很多个主机IP地址对应，那DNS只有一个IP地址可不是只有一台。为了让一个IP地址对应分布在各地的多台DNS，采用anycast任播将数据发送到一组目标节点上，通过路由协议选择路由矢量最近点提供“最快”的服务。可以应对DOS攻击和网络拥塞。
主动同步万网注册域名是啥，其他能同步吗？
万网被阿里买下了，内部数据同步下快还不行么。其他时限不一定，看同步间隔。
-
业务拓展
从阿里云在阿里中的技术和商业定位中可以看出：
为了满足自身电商等业务的正常运行和服务
为了让云计算资源作为服务型商品卖掉（剩余资源的充分利用，在固定投入不变的情况下的单位效率提升）
重点说第二点，云计算资源的服务。

一个典型云计算平台具有的几大功能阿里云都已具备（前些时间还有让人眼前一亮的渲染云之类的服务）。但在这个列表中唯独陱的一部分就是关于域名注册和解析相关的服务，因为不论是怎样架在网络上的服务，最终让用户访问时多半不会使用单纯的IP地址的形式，而会是域名的转义。于是乎，阿里拿下了万网（万网是域名注册服务的先行者、虚拟主机服务的开创者、企业邮箱服务的领先者和网站建设服务的创新者。【摘自百度百科】）填补了一些域名注册解析相关的服务内容。但万网来做解析的实力和能力只是有限的，还远远不及真正网络解析的要求。下面扯一点关于域名解析的过程：
一般来讲，DNS解析是在ND服务上演化而来，采用的是基于域的层级命名方案，这就意味着，域名解析的过程相当于查询了一个全球范围的分布式数据库。从上文的引文DNS 查询的工作原理可以知道，有几类域名：根名称RD，顶级名称TLD，权威名称AD，本地名称LD。而阿里云收购的万网的算是AD只能保证一定范围内的域名解析。尤其是声明转入到万网解析范围的域名还有阿里云自营的虚拟主机和VPS的地址解析。但阿里云想要的远不止这些：
前面也提到的快速安全的访问在当前几大ISP的管控下谈安全快速访问就是扯淡。扯淡对普通百姓来说可能感觉就是右下角总是弹窗，或者说你家路由器不能用，或者说这个知名网站又打不开了，或者说“咦，电信那边的网站怎么被屏蔽了？”大家互相扯皮和撕倒是正常的，但是人家阿里的生意还是要好好做的，不能在这欢乐的撕战中成为炮灰，或者是在无限的弹窗中链接跳转到的某某其他购物网站，马总的想法是让天底下没有难做的生意，我阿的访问要成问题我还让我商家的生意怎么做？
另外作为一个需要VPS服务的程序猿，当我开心的在万网买了域名，备了案（假如我有一天会这么做了）发现在家苦等1天还没生效的时候，你下次还敢买这里的域名，用这家的云计算服务么？其实人家阿里万网挺无辜，在万网的上都是秒级的事儿，但是你懂得的原因就是没有生效。这时候你是不是很期待阿里一统天下的ISP？什么？嫌贵，那你告诉我正在用的2MADSL每月150Y是什么。
如果有幸你能知道有个东西叫DNSSEC，那么恭喜，你又发现一个重大安全隐患。简单来说这个东西就是一部分解决你的DNS查询中的DNS的欺和缓存污染问题。除了DNSSEC区域签名以外，云计算服务供应商们还必须在客户用于名称解决方案的递归解析程序中打开DNSSEC验证。

附上一份我国实施DNSSEC的文件网址：_php?stdtype=yd1&sno=112
================================================================
====================修正后的答案======================================
请不要尝试Baidu DNS 亲测安装XX卫士，XX广告不信自己去试。/*别问我怎么知道的*/
PS目前宽带商普遍采用“HTTP 劫持”而不只是“DNS 劫持”，所以即便换了 DNS ，该弹广告时还是会弹广告，目前用户除了向商和工信部投诉之外似乎无解。
PSS一篇来自乌云社区的帖子，看看就好：百度有钱联盟利用IE漏洞推广安装软件
================================================================
编辑于 2022-12-15
郑叔叔
@张泽华
的答案很详细！
尾部提到的HTTP劫持，我们网站的做法是启用CSP，能起到一定作用。
编辑于 2022-02-20
知乎用户
可惜，你们永远也不知道，有一个东西叫做 AIXYZ DNS 。谁用谁知道。

你好，阿里作为互联网大厂薪资待遇水平是很不错的。互联网企业岗位分为产品类、设计类、类和传统（财务行政后勤等）类，其中传统类岗位很少。以为 主要员工技术岗来说明：

1、互联网大厂薪资最高的阿里巴巴

国内互联网大厂中，百度晋升快、最稳定、阿里巴巴独占薪酬高地。

即使是新入职的应届毕业生，刚入职到阿里薪资也是很可观的。阿里巴巴集团采用双序列职业发展体系：

一套体系是专家路线【P序列=技术岗】，程序员、工程师，某一个专业领域的人才，一共分为 14 级，从 P1 到 P14，目前校招最低从 P4 开始。

一套体系是M路线，即者路线【M序列=岗】，从M1到M10。

应届毕业生刚入职到阿里为P5，工作1-3年之后升职到 P6，阿里一般到 P7 才给配股票。

但12+1+3=16的薪资结构已经是足够吸引人了。目前阿里需求量最大的职级范围分布在 P6-P8，这也是阿里集团占比最大的级别。P6 级别的程序员 title 是高级工程师，P7 便已经是专家级别，P8 则是高级专家。

2、阿里旗下员工

每个岗位都有一定的职级，以前端工程师为例。作为国内电商大平台，用户数量非常多，招聘也非常热门。它的前端工程师要做什么工作？

实际上，Web前端工程师是一个很新的职业，在国内乃至国际上真正开始受到重视的时间不超过2022年。如今web前端已经成为重要的互联网职位，同时大厂也是给到非常高薪的待遇。

“web前端工程师” 这个职位好多人并不知道是怎么叫出来的，其实就是团队，发明出来的本土化的名称。

因为历史原因，在2022以后迅速崛起，并且爆发式的访问量，让网的用户体验受到巨大考验和急需前进。第一次有了“web前端”这个字眼和招聘职位，或许其他网站也想到了这样一种描述，但是毕竟知名度巨高的，受关注度自然高。

3、Web前端能拿40万年薪？

Web前端的语言基有三个：HTML、CSS、JavaScpt。而作为阿里的热门，因为没有一定的技术功底，面试依然很难。

像阿里这样的大厂，每年要从十几万份简历中选择一千多人作为员工，即使面的并非P7级以上的职级，要想在这么多人中脱颖而出，在技术方面一定是要有过人之处的。

来看特价版的近期招聘：

虽然掌握web前端的语言基已经能够胜任普通的web前端工作了，但不管是行业趋势或是大厂需求，都对工程师提出了更高的要求。单纯的网页技术已经不能满足当下大厂的要求。

自HTML5与CSS3出现以来，web前端的功能实现了质的飞跃。大厂需要的均是Web前端+全栈工程师的全能型人才，并开出高薪聘用，而普通高校一般还未能开设相关课程。对于想学习web前端的无基同学来说，北大青鸟、课工场等优秀品牌都是不错的选择。课程根据招聘需求制定，包含大厂要求的所有技术需求，对标阿里P6级别。

希望我的回答对你有所帮助！

这位“男孩”叫吴翰清，是三大顶尖，另外两位和他一样的天才，都进过了。一位是缔造熊猫烧香病毒的李俊，当时只有24岁，很多人都认识他；还有一位年仅16岁就做出震惊网友的事情，先是黑入天涯内部发放了几个亿的讨论币，又黑入1，还直接告诉自己黑了的网络，这个天才叫鄢奉天。

吴翰清的人生非常彪悍，直接在领域了，遇到了自己的伯乐马云，做出了非常正确的选择。他和阿里的缘分很有意思，当时年仅21岁的吴翰清去阿里面试，HR问他会有什么技能的时候，吴翰清默默在HR捣鼓了起来，3分钟后把阿里的仪态路由器给黑掉了，还引起了阿里内部的小恐慌。吴翰清就成为了阿里最年轻的技术专家，和阿里的缘分就这样开始了。 

后来马云给了他500万的年薪，在阿里工作 七年之后，吴翰清选择了自己创业，但是后来还是被阿里收购了，因为经营不善，无以为继。和阿里巴巴的缘分又开始了。现在的吴翰清是阿里巴巴网络安全这的负责人，现在在圈内是赫赫有名的人物，在2022年MIT TR评选35位可以改变世界的人中就有吴翰清的名字。

吴翰清的彪悍人生在16岁的时候就开始了，15岁就考入西安交大的“少年班”，是名副其实的大学霸。现在看三位顶尖的结局，另外两位的技术不会比吴翰清差到哪里去，但是显然吴翰清的人生可以说是最成功了。

云时代来了，还有很多朋友却不知道什么叫云计算，这可不行。今天就来给大家讲一讲，什么叫云计算。
什么是云计算?
对云计算的定义有多种说法。对于到底什么是云计算，至少可以找到100种解释。大家也不需要关注别人怎么定义，这里按照我理解的方式描述，云计算概念相对于传统模式而言，简单来说就是经由网络方式灵活的获取所需的计算、存储等虚拟化出来的资源，按使用量计费，特点是动态和易扩展。我们可以用云计算做以下事情：
应用和服务部署
存储、备份和恢复数据
托管网站和博客
分析数据模式并进行
虚拟机
又称实例，公有云又称作ECS、云主机、云等。
VPC
虚拟私有云，云资源池中分配出的一块逻辑的隔离区域，在这个部分中，客户可以在自己定义的虚拟网络中启动资源，可以完全控制虚拟联网环境，包括选择自己的 IP 地址范围、创建子网以及配置路由表和网关等。不同厂商对VPC概念略有不同
虚拟化
将物理资源虚拟成逻辑资源按需提供
三种部署类型
公有云：公有云是为大众提供计算资源的服务。是由IDC服务商或第三方提供资源，如实例和存储，这些资源是在服务商的机房内部署。用户经由Internet互联网来获取这些资源的使用。公有云服务提供商有Amazon、Google和微软，国内有BATJ等。拿吃饭举例，可以理解为下馆子，很容易就能吃到想吃的东西，只要付钱就可以，想什么时候去就什么时候去，想去哪里吃就去哪里吃，吃完还不用洗碗运维工作。
私有云：私有云部署在客户机房或托管在第三方机房并独享使用，不提供给外部。私有云可以对数据的安全和资源的可控有比较好的掌控。私有云一般由专门的厂商部署，如Vmware、Zstack、EasyStack、华为等。同样拿吃饭举例，自建厨房、自己买菜，做好的饭自己吃不与别人共享，吃完饭自己洗碗运维工作。
混合云:混合云即结合了私有云和公有云，可以经由专线或VPN形式实现资源的整合，可以解决企业内部资源不足，便于横向扩展，业务可根据类型选型，安全要求比较高的放在私有云，边缘业务放在公有云。
三种云服务
IAAS：基设施即服务。非常基的云计算类别。灵活方式获取所需的虚拟机、存储空间及网络等资源。如阿里云、aws、云、Azure等。
PAAS：平台及服务有时我们也称之为中间件。灵活方式获取、测试、交付和软件应用程序所需的环境。如GAE谷歌、阿里ACE、百度BAE、SAE、Google App Engine、VMware Cloud Foundry等。
SAAS：软件即服务。云提供商托管并软件应用程序和基架构，并负责软件升级和。用户通常使用终端如，平板电脑或 PC 上的 Web 浏览器经由 Internet 连接到应用程序。如CRM、HRM、S等。

防止阿里云不被攻击：
首先内部安全要做好，漏洞补丁要打好，防火墙的策略、开放那些端口访问，允许那些IP访问，这些基本的设置要做好。
使用一些专业的安全漏洞扫描工具，阿里云自己有一个安全分析工具叫态势感知，利用工具可以分析发现潜在的入侵和高隐蔽攻击威胁。
使用一些工具阿里云主机，可以很方便的阿里云主机，可以设置成员的权限，防止混乱，减少对外端口开放，还附带安全漏洞。
遭遇到DDoS攻击，需要购买第三方防DDoS攻击的服务，阿里云市场里面有云盾DDoS、东软、安全加固及优化等一些防攻击的产品。