【安全资讯】Cloudflare将近期宕机归因于BGP劫持事件

概要：

互联网巨头Cloudflare报告称，其DNS解析服务1.1.1.1最近因边界网关协议（BGP）劫持和路由泄漏而无法访问或性能下降。此次事件影响了70个国家的300个网络，尽管影响范围广泛，但公司表示在某些国家用户几乎没有察觉到。

主要内容：

Cloudflare表示，事件发生在6月27日18:51 UTC，当时Eletronet S.A.（AS267613）开始向其对等和上游提供商宣布1.1.1.1/32 IP地址。由于BGP路由偏好最具体的路由，AS267613的公告比Cloudflare的1.1.1.0/24更具体，导致网络错误地将流量路由到AS267613。结果，原本应送达Cloudflare 1.1.1.1 DNS解析器的流量被黑洞化或拒绝，服务因此对部分用户不可用。

一分钟后，Nova Rede de Telecomunicações Ltda（AS262504）错误地将1.1.1.0/24上游泄漏到AS1031，进一步传播，影响全球路由。这一泄漏改变了正常的BGP路由路径，使得流向1.1.1.1的流量被错误路由，加剧了劫持问题，导致更多的可达性和延迟问题。Cloudflare在20:00 UTC左右识别出问题，并在大约两小时后解决了劫持问题。路由泄漏在02:28 UTC得到解决。

为应对此次事件，Cloudflare首先与涉及的网络进行接触，同时禁用所有有问题网络的对等会话，以减轻影响并防止错误路由的进一步传播。公司解释说，由于采用了资源公钥基础设施（RPKI），错误公告未影响内部网络路由，自动拒绝了无效路由。

在事后分析中，Cloudflare提出了长期解决方案，包括：通过整合更多数据源和实时数据点来增强路由泄漏检测系统；推广资源公钥基础设施（RPKI）用于路由源验证（ROV）；推广路由安全的相互同意规范（MANRS）原则，包括拒绝无效前缀长度和实施强大的过滤机制；鼓励网络在默认自由区（DFZ）拒绝超过/24的IPv4前缀；倡导部署ASPA对象（由IETF起草），用于验证BGP公告中的AS路径；探索实施RFC9234和丢弃源授权（DOA）的潜力。