【跟唐老师学习云网络】 - 番外篇 - 网络骗子
一、背景
因为接下来的网络世界变得略显复杂,为了让大家看懂其中的门门道道,为师要教大家一点识别常见骗局小伎俩。
二、双簧骗局
一般大家能够达成共识的是:但凡比较经典的骗局,都是以双簧骗局为多。这种骗局特别容易让受害者晕头转向,轻易地上了套。大概使用如下这种套路:
首先你遇到了一个看着挺和蔼的普通人(这个人可能是刚认识的,也可能是认识很久但也仅限平时业务需要,并不是那么知根知底,此人简称小伙伴)。然后有一天你们一起办点事情,路上遇到了另外一个人(此人简称第三者):
故事有可能是这个第三者主动来搭讪,也可能是一开始的小伙伴故意带领,但不管怎样,你已经把你自己和一开始的小伙伴当做是一个团体的了。
这时候如果第三者提出需求,并且小伙伴接受了这个需求,但是能力又恰好还差一点点。这时你就会很英勇的站出来帮助你的小伙伴了。因为你很坚信小伙伴跟你是一伙的,会快速还你这一份欠款。殊不知,人家两个才是真正一伙的。
三、网络骗子
云网络世界,有很多这样的骗局,我们程序所发出的报文,就是这些双簧骗局的目标。好了,现在我们找一个经典网络骗局扒开来看一看:
在云上,你要发送报文到目标程序。首先在报文出门前,你咨询了一下老朋友(骗子A),他告诉你:哦,你的目的地在xxx,你很相信它,所以你就把报文往xxx发出去了。可是报文刚出门,就遇到了骗子B。哇靠,刚出门就遇到骗子B,为什么这么巧呢?那是因为他一直在这里等你啊。你忘记啦,他跟骗子A是一伙的,是骗子A故意让你把报文往他这里发的。所以你的报文就被骗子B随便宰割啦,发往它所操控的任意地方。
这个骗局中有一个重点可以再回顾一下,不管第一个骗子跟你说了目的地是什么,你的报文都会跑到第二个骗子那里。比如:
“哦,你的目的地在xxx”。你的报文跑到了第二个骗子那里。
“你这个目的地跟其他人不一样,是在yyy”。你的报文还是跑到了第二个骗子那里。
“这个呢,是在zzz”。还是到第二个骗子那里。
唯一的区别就是第二个骗子,知道你是因为什么原因受骗的。
看到这里,你似乎可以明白,在云上,网络控制做得好,双簧必须演得好。
四、骗子身份
那好奇的人会问,两个骗子具体又是什么呢?典型双簧组合 DNS + Load Balancer
云上面对方程序可能有多个实例,并且实例数量可能还随时间变化(比如配有自动扩容策略),所以访问不可能使用传统IP的方式。所以云提供者一般都说:请使用对方名字访问,用对方名字就可以通。
注意了,一旦说到使用名字就可以互通,那就肯定要进入PaaS设定好的双簧骗局啦。更有甚者,直接跳过第一个骗局,直接进入第二个骗局(但是总的来说,没有双簧效果好,对受害人也不够人性化)。
五、举例
Kubernetes里面的kube-proxy,就很好的利用了这个骗局:
所以在Kubernetes平台上,可以直接使用Service Name互相通信。当你拿着一个“名字”换回来的 clusterIP,其实是一个根本不存在的IP,它的唯一作用是引领你前往骗子B处(也就是kube-proxy),所以clusterIP一般选冷门的IP,万一跟真实存在的IP冲突了骗局就很尴尬了。
说到底,云网络,满满的都是套路啊。
【版权声明】本文为华为云社区用户原创内容,转载时必须标注文章的来源(华为云社区),文章链接,文章作者等基本信息,否则作者和本社区有权追究责任。如果您发现本社区中有涉嫌抄袭的内容,欢迎发送邮件至:hwclouds.bbs@huawei.com进行举报,并提供相关证据,一经查实,本社区将立刻删除涉嫌侵权内容。
- 点赞
- 收藏
- 关注作者
评论(0)