网络安全工程师怎么进阿里
清水颐园
3396 次浏览
赞 691
最新回答
sheenashen 1小时前发布 赞 404 来源:知乎
业务需要
为什么说是业务需要?
-先来了解下阿里在上线AliDNS之前已经做了哪些事儿。
阿里的架构变迁可以说是针对业务的一次完整进化。从最初的单台跑起少量的业务开始,到今年571亿的双十一绝不是一蹴而就的。作为一家较大的电商网站在互联网应用中要面对极多问题:高并发,高可用,安全环境较差,客户分布广泛,网络环境较为复杂等等。
为满足复杂的需求,网站的架构逐渐从单机服务演进到:前端是各地的CDN集群,连接各反向集群,连接负载均衡集群,接下来将访问请求转到按照业务划分的应用集群上,通过队列集群传到分布式服务集群上,通过缓存或一致数据访问模块连接到数据源:分布式缓存、分布式数据库、分布式文件集群,外加NoSQL和搜索引擎等等。
架构演进到这里不难发现有两个明显的特点:分层化和分布式。优秀的工程师们将这种能够应对复杂业务逻辑和数据处理的海量数据和高并发的架构进一步设计为平台化的方式,不仅能够服务当前企业,还能够将资源作为一种产品出售,这样让各类小型网站享有架构便利的同时只要按需付费即可。这样,阿里云就诞生了,其实它是技术演进过程中的一个必然产物,这也不难理解Google、Amazon、Alibaba等超大规模互联网公司对外提供的云计算服务。
DNS服务是将阿里的域名解析成IP地址,不仅可以利用DNS实现DNS的负载均衡,并且在配置商CDN机房时也是重要的一部分。DNS技术属于前端架构甚至更前的一部分,不难看出一个大型网站在提供好扎实的应用层和数据层服务后亟待解决的是访问的问题,访问安全问题也是伴随着要解决的问题之一。
所谓访问的问题:
<能够保证客户顺利的连接上网站
<能够保证整个过程的安全
<快
DNS服务了什么?
贴一下阿里DNS的自我介绍:阿里DNS
阿里公共DNS简介
阿里公共DNS是阿里巴巴集团推出的DNS递归解析,目标是成为国内互联网基设施的组成部分,面向互联网用户提供“快速”、“稳定”、“智能”的免费DNS递归解析服务。
一、DNS简介
DNS是互联网上存储域名与IP映关系的一个分布式数据库。使用DNS,用户可以方便的用域名访问互联网,而不用关心复杂难记的IP地址。通过域名获取对应IP地址的过程叫域名解析。
域名解析一个相对复杂的过程,需要多个环节,遍历多个DNS,才能获取域名的IP地址。解析过程见下图:
二、用户使用DNS面临的问题
从域名解析过程可以看到,用户打交道最多的就是Local DNS,它负责接收用户的请求,代替用户遍历其他DNS,获得结果后返回客户,并做一定时间的缓存,在下次请求时直接应答。
大部分用户使用的Local DNS是用户在接入网络时由ISP自动分配的。存在几方面问题:
三、阿里提供公共DNS服务的优势四、阿里公共DNS的特点
快速:
稳定:
智能:
结束语
阿里公共DNS的目标是成为国内互联网基设施的组成部分,为国内互联网的健壮、稳定、快速贡献我们的力量。
结合阿里优质CDN资源和精准的IP地址库,让用户访问到较近的网站。
异地多机房高可用架构。
基于DPDK自主研发的高能DNS。
Aliguard多种攻击防御策略。
持久化保存热点记录,当“根”或域名的权威DNS出现异常后,阿里公共DNS具备快速恢复正常访问的能力。
通过B anycast技术,让用户访问到离自己较近的DNS集群。
主动同步com/net域名、万网注册域名的变更,减小ttl时间的影响,快速访问到正确的记录。
主动缓存热点域名的,提高查询CACHE命中率,减少递归过程,快速应答。
阿里在全国有优质的机房、网络、带宽等互联网基设施资源。
阿里建设和着全国最大的CDN网络,对互联网流量调度有丰富的经验。
阿里旗下万网是国内最大的域名注册商,着几百万域名。同时有丰富的DNS经验。
阿里拥有大量优秀的技术人才,有非常强的自主研发能力和运维保障能力。
首次查询或缓存过期后的查询,需要遍历多个互联网上多个DNS才能得到结果,查询时间较长,影响用户的访问速度。
域名解析的环节较多,其中任何一点出现问题,都可能会导致解析异常,进而影响用户对互联网的访问。
Local DNS会对获取的结果做一定时间缓存,当域名员对域名对应的IP地址调整后,Local DNS不能马上感知,还会用缓存中老的地址应答,可能导致访问出错。
当前互联网上CDN很多都是根据Local DNS的地址来调度。有些ISP的Local DNS并不直接去递归解析,而是转发到其他Local DNS上,可能导致CDN调度不准确,使用户不能访问到最快的站点。
ISP不是专业的DNS服务商,提供的Local DNS可能出现能、稳定等方面的问题。另外,益频繁的DNS攻击,也会导致Local DNS出现宕机、劫持等情况。这些都会影响客户的上网体验。
部分ISP通过DNS劫持做广告植入,给用户带来较差的体验。
简单翻译一下就是:
<我家DNS速度快。| 特别是保证秒杀反应快
<域名解析到我这里谱。| 特别双十一不瘫痪
<我的数据更新快。
<根据我的GeoDNS能够知道你到底是从哪里访问的,给你一个最快的服务。
<我的DNS特别稳定。
<有些无良的DNS提供商会给你乱装软件,乱弹窗口,卖假药什么的。
调侃一句:如果说下一步阿里要做什么,估计是要自己做Tier 1商了。
-入点技术部分-
DNS迭代,递归查询是啥?
出于资源消耗和响应速度的综合考虑,一般来说从主机到本地DNS是递归查询,从本地DNS到其他DNS是迭代查询。
详细解释:DNS 查询的工作原理
B anycast是啥?
从域名可以解析出来很多个主机IP地址对应,那DNS只有一个IP地址可不是只有一台。为了让一个IP地址对应分布在各地的多台DNS,采用anycast任播将数据发送到一组目标节点上,通过路由协议选择路由矢量最近点提供“最快”的服务。可以应对DOS攻击和网络拥塞。
主动同步万网注册域名是啥,其他能同步吗?
万网被阿里买下了,内部数据同步下快还不行么。其他时限不一定,看同步间隔。
-
业务拓展
从阿里云在阿里中的技术和商业定位中可以看出:
为了满足自身电商等业务的正常运行和服务
为了让云计算资源作为服务型商品卖掉(剩余资源的充分利用,在固定投入不变的情况下的单位效率提升)
重点说第二点,云计算资源的服务。
一个典型云计算平台具有的几大功能阿里云都已具备(前些时间还有让人眼前一亮的渲染云之类的服务)。但在这个列表中唯独陱的一部分就是关于域名注册和解析相关的服务,因为不论是怎样架在网络上的服务,最终让用户访问时多半不会使用单纯的IP地址的形式,而会是域名的转义。于是乎,阿里拿下了万网(万网是域名注册服务的先行者、虚拟主机服务的开创者、企业邮箱服务的领先者和网站建设服务的创新者。【摘自百度百科】)填补了一些域名注册解析相关的服务内容。但万网来做解析的实力和能力只是有限的,还远远不及真正网络解析的要求。下面扯一点关于域名解析的过程:
一般来讲,DNS解析是在ND服务上演化而来,采用的是基于域的层级命名方案,这就意味着,域名解析的过程相当于查询了一个全球范围的分布式数据库。从上文的引文DNS 查询的工作原理可以知道,有几类域名:根名称RD,顶级名称TLD,权威名称AD,本地名称LD。而阿里云收购的万网的算是AD只能保证一定范围内的域名解析。尤其是声明转入到万网解析范围的域名还有阿里云自营的虚拟主机和VPS的地址解析。但阿里云想要的远不止这些:
前面也提到的快速安全的访问在当前几大ISP的管控下谈安全快速访问就是扯淡。扯淡对普通百姓来说可能感觉就是右下角总是弹窗,或者说你家路由器不能用,或者说这个知名网站又打不开了,或者说“咦,电信那边的网站怎么被屏蔽了?”大家互相扯皮和撕倒是正常的,但是人家阿里的生意还是要好好做的,不能在这欢乐的撕战中成为炮灰,或者是在无限的弹窗中链接跳转到的某某其他购物网站,马总的想法是让天底下没有难做的生意,我阿的访问要成问题我还让我商家的生意怎么做?
另外作为一个需要VPS服务的程序猿,当我开心的在万网买了域名,备了案(假如我有一天会这么做了)发现在家苦等1天还没生效的时候,你下次还敢买这里的域名,用这家的云计算服务么?其实人家阿里万网挺无辜,在万网的上都是秒级的事儿,但是你懂得的原因就是没有生效。这时候你是不是很期待阿里一统天下的ISP?什么?嫌贵,那你告诉我正在用的2MADSL每月150Y是什么。
如果有幸你能知道有个东西叫DNSSEC,那么恭喜,你又发现一个重大安全隐患。简单来说这个东西就是一部分解决你的DNS查询中的DNS的欺和缓存污染问题。除了DNSSEC区域签名以外,云计算服务供应商们还必须在客户用于名称解决方案的递归解析程序中打开DNSSEC验证。
附上一份我国实施DNSSEC的文件网址:_php?stdtype=yd1&sno=112
================================================================
====================修正后的答案======================================
请不要尝试Baidu DNS 亲测安装XX卫士,XX广告不信自己去试。/*别问我怎么知道的*/
PS目前宽带商普遍采用“HTTP 劫持”而不只是“DNS 劫持”,所以即便换了 DNS ,该弹广告时还是会弹广告,目前用户除了向商和工信部投诉之外似乎无解。
PSS一篇来自乌云社区的帖子,看看就好:百度有钱联盟利用IE漏洞推广安装软件
================================================================
编辑于 2022-12-15
郑叔叔
@张泽华
的答案很详细!
尾部提到的HTTP劫持,我们网站的做法是启用CSP,能起到一定作用。
编辑于 2022-02-20
知乎用户
可惜,你们永远也不知道,有一个东西叫做 AIXYZ DNS 。谁用谁知道。
yiyi1169681829 2小时前发布 赞 541 
2022年,16岁的吴瀚清创立了“幻影论坛”的网上安全组织。2022年,20岁的吴瀚清以“资深白帽子”的身份加入阿里,一口气在阿里安全部门待了7年,亲历阿里云初创到成长。
2022年9月,吴瀚清离开阿里,加入安全宝创业团队担任副。2022年9月,阿里收购了安全宝的业务和产品,吴瀚清重回阿里,肩负阿里“云盾”的安全重担。
吴瀚清在加入阿里之前就读于西安交通大学少年班,到阿里参加实习面试,主管让他证明一下自己的安全水平,他远程关闭了阿里内网的一台路由器,直接让阿里巴巴内部断网了。实习6个月后,他正式加入阿里,一直负责网络安全。自2022年阿里云计算成立的第一天,吴瀚清就为此效力。

据悉,吴翰清出生在湖南一个教师家庭,从小就是远近闻名的学霸,关键还学习刻苦,简直让父母都自愧不如。因为他太拔尖了,15岁就被选进了西安交大的少年班。2022年加入阿里巴巴,参与创建了阿里巴巴、支付宝、阿里云的应用安全体系。
23岁成为阿里巴巴最年轻的高级技术专家,是阿里安全从无到有、从有到强的亲历者。工作期间,对阿里巴巴的安全流程、应用安全建设做出了杰出的贡献。2022年起,加入阿里巴巴云计算有限公司,负责云计算安全、反网络欺诈等工作,是阿里巴巴集团最具价值的安全专家,也可以说是阿里的守护神。
猫猫猫啊哩 4小时前发布 赞 635 被马云开出500万年薪,就知道有多厉害了,他就是吴翰清,阿里网络的守护神,而且非常的年轻,他的故事至今还在阿里是个传说。
现代的四大发明,其中一个就是我们的移动支付了。而阿里旗下的支付宝更是最大的一个移动支付平台。
现在很少有人再使用了,把我们的钱财放在网上,成为一个数据,这样是否安全,一定是所有人的顾虑。
支付宝凭什么有勇气帮这么多人存钱呢,说出来你可能不信,阿里巴巴最大的底气竟然就是今天的主人公,吴翰清。
吴翰清现在才34岁的,却已经是阿里的一个骨干了,马云更是给他开出了500万年薪,而且他的故事如今依旧是阿里内部的一个传说。
吴翰清,如果熟悉网络安全领域的朋友应该不会陌生,被大家称为”道哥“。吴翰清的父母都是高知识分子,在父母的影响下,吴翰清从小学习成绩十分优异。而且小的时候他就对电脑技术十分感兴趣。
当时才15岁的吴翰清,就成功考入西安交大。值得一说的是他在大学里面,因为拥有更多时间钻研技术,获得了很大的提升,并在圈中拥有了一定的名气。
当时的吴翰清和一群志同道合的朋友,一起创立了个名叫”幻影“的论坛。这个论坛研究如何反,网络安全。但是现在因为得罪了太多人,有很多报复攻击,”幻影“已经关闭了。
而现在阿里最厉害的神盾局,就是吴翰清进了阿里之后进行筹备的。吴翰清本是阿里神盾局中最年轻,最厉害的”白帽子“。
吴翰清的出现,让阿里的网络安全得到了保障,还这么年轻,真是一个传奇人物。
人大菲菲 12小时前发布 赞 747 那么问题来了,在网络中如何保证我们个人的、财产安全?在移动支付越来越普遍的今天,我国使用支付宝、微信支付的用户就已经有数亿人了。怎么能保障每个人手机钱包中财产的安全,不会被别人盗走?今后,物联网时代,网络安全要保障的范围还会更宽,万物互联,则万物都需要网络中的安全保障。所以,网络安全专业的人才需求前景,还是非常光明的。
我们常用的支付宝,每天大约遭受的网络攻击大约16亿次。这样频繁的攻击,支付宝出问题了吗?你能够安全的使用支付宝,要感谢他们有一支安全的团队:阿里巴巴神盾局。下图就是这个组织的标志。
在阿里,这个组织有大约2022人!是专业负责保障网络安全的团队。你以为只有阿里有这样的团队,大型公司都会有专业负责保障网络安全的机构。银行、证券、基金这些金融机构首当其冲,必须要有一支完全可的网络安全战队。大型金融机构,都会有一支大规模的网络安全队伍。只要你网络安全出现一次失误,损失将无法估量,被盗走的不仅是账户资金余额,更包括客户对企业的信任度。所以,大型企业对网络安全绝对是极度重视,他们对网络安全的高手,肯定会重金礼聘。所以,在这个领域内,你只要是技术高手,不用发愁高薪。
油墩子2016 12小时前发布 赞 639 支付宝乃至阿里巴巴整个核心平台的网络在2022年大规模升级后,不夸张的说和五角大楼一个安全级别,这并不是说团队攻不进去,而是即时他们攻进去,数据连锁机制也是无人可破的,数据保护有自启和人为两种,触动后的结果就是阿里巴巴陷入瘫痪,等待工程师们查出漏洞后重启,而资金在这期间无法转入转出分毫,全世界的大型银行的网络终端各有不同,唯独这个闭锁机制大同小异。
现在能入侵支付宝的不说没有但肯定不多。不说阿里的技术如何如何。敢说无城市,你敢付我敢赔,银行做不到,支付宝都能做到。记得马云在一次演讲里面讲过,有观众收被盗刷的事情,阿里的技术真不是吹的,所以说支付宝还是很安全的,这也是为什么那么多人原因把自己大量的至今都存入支付宝的原因吧,而且如果是放入支付宝的余额宝里,每天还能受到比银行高出很多倍的利息。
