Cloudflare 的 1.1.1.1 DNS 服务因 BGP 劫持和路由泄漏而中断

2024 年 6 月 27 日，Cloudflare 广受欢迎的 1.1.1.1 公共 DNS 解析器服务出现中断，导致全球一小部分用户无法访问该服务或面临严重的延迟问题。此次中断的罪魁祸首是边界网关协议 (BGP) 劫持和路由泄漏的结合。

BGP 劫持和路由泄漏：双重打击

BGP 是支撑互联网的路由协议，容易受到劫持和泄露。在Cloudflare事件中，巴西网络运营商 Eletronet (AS267613) 错误地宣布了 1.1.1.1/32 前缀的所有权，从而将流量从 Cloudflare 的服务器转移出去。与此同时，另一家巴西网络 Nova Rede de Telecomunicações (AS262504) 错误地向上游泄露了 1.1.1.0/24 前缀，进一步加剧了问题。

这个双重问题导致 70 个国家/地区的 300 多个网络立即无法访问 1.1.1.1。虽然对用户的整体影响很小（英国和德国不到 1%），但它凸显了全球 BGP 生态系统中持续存在的漏洞。对用户的影响各不相同，有些用户根本无法访问 1.1.1.1，而其他用户则经历了高延迟。AS267613 对 1.1.1.1/32 的劫持和随后的黑洞化导致了间歇性访问问题，在来自德国和美国的流量中尤为明显。

此次事件凸显了资源公钥基础设施 (RPKI) 的重要性，RPKI 是一种旨在防止 BGP 劫持的安全框架。尽管 Cloudflare 已经实施了 RPKI，但由于情况复杂，涉及劫持和泄露，导致部分中断。

Cloudflare 的回应和未来发展

Cloudflare 是互联网安全的积极倡导者，它对用户遇到的中断表示遗憾。尽管根本原因来自外部网络，但 Cloudflare 致力于增强其检测方法和响应时间，以减轻此类事件在未来的影响。

该公司继续倡导广泛采用 RPKI 和其他安全机制，如自治系统提供商授权 (ASPA)，以保障 BGP 路由的完整性。Cloudflare 不断努力增强互联网抵御此类攻击的能力，这对于确保全球用户获得稳定、安全的在线体验至关重要。

原文始发于微信公众号（独眼情报）：Cloudflare 的 1.1.1.1 DNS 服务因 BGP 劫持和路由泄漏而中断