详细内容或原文请订阅后点击阅览
DNS 没有响应:一个 BGP 错误会影响整个互联网
Cloudflare 路由系统大规模故障分析。
来源:安全实验室新闻频道Cloudflare 路由系统大规模故障分析。
上周,Cloudflare 报告了其 1.1.1.1 DNS 解析器服务的可用性问题。此次中断是由 BGP 劫持和路由泄漏共同造成的,导致部分用户的服务降级或中断。
Cloudflare 报告 DNS 1.1.1.1 BGP该事件发生于 6 月 27 日,当时 Eletronet S.A. (AS267613) 开始向其合作伙伴和提供商错误地宣传 IP 地址 1.1.1.1/32。这些错误信息被多个网络接受,其中包括最大的一级提供商之一,该网络将该路由视为远程触发黑洞 (RTBH)。因此,发往 Cloudflare DNS 解析器 1.1.1.1 的流量被重定向并拒绝,导致某些用户无法使用该服务。
发生拦截是因为 BGP 路由偏向于最具体的路由。 Eletronet 的 1.1.1.1/32 公告比 Cloudflare 的 1.1.1.0/24 公告更具体。这导致网络将流量误导至 Eletronet。
一分钟后,情况变得更加复杂,Nova Rede de Telecomunicações Ltda (AS262504) 错误地将路由 1.1.1.0/24 转发给其提供商 AS1031,后者随后进一步传播该路由,影响了全球路由。 BGP 路由的这一变化导致了额外的可用性和流量延迟问题。
路由劫持目前已被删除。 Cloudflare 迅速响应了这一事件,联系了相关网络并禁用了与有问题网络的对等会话,以减少影响并防止不良路由进一步传播。
Cloudflare 还指出,由于使用资源公钥基础设施 (RPKI),内部网络路由并未受到影响,这会自动导致不良路由被拒绝。
RPKI有什么区别?
有什么区别?