2024 年 6 月 27 日,Cloudflare 广受欢迎的 1.1.1.1 公共 DNS 解析器服务出现中断,导致全球一小部分用户无法访问服务或面临严重的延迟问题。此次中断的罪魁祸首是边界网关协议 (BGP) 劫持和路由泄漏。
BGP 劫持和路由泄漏:双重打击
BGP 是支撑互联网的路由协议,容易受到劫持和泄露。在Cloudflare事件中,巴西网络运营商 Eletronet (AS267613) 错误地宣布了 1.1.1.1/32 前缀的所有权,从而将流量从 Cloudflare 的服务器转移出去。与此同时,另一家巴西网络 Nova Rede de Telecomunicações (AS262504) 错误地向上游泄露了 1.1.1.0/24 前缀,进一步加剧了问题。
这个双重问题导致 70 个国家/地区的 300 多个网络立即无法访问 1.1.1.1。虽然对用户的整体影响很小(英国和德国不到 1%),但它凸显了全球 BGP 生态系统中持续存在的漏洞。对用户的影响各不相同,有些用户根本无法访问 1.1.1.1,而其他用户则经历了高延迟。AS267613 对 1.1.1.1/32 的劫持和随后的黑洞化导致了间歇性访问问题,在来自德国和美国的流量中尤为明显。
此次事件凸显了资源公钥基础设施 (RPKI) 的重要性,RPKI 是一种旨在防止 BGP 劫持的安全框架。尽管 Cloudflare 已经实施了 RPKI,但由于情况复杂,涉及劫持和泄露,导致部分中断。
Cloudflare 的回应和未来发展
Cloudflare 是互联网安全的积极倡导者,它对用户遇到的中断表示遗憾。尽管根本原因来自外部网络,但 Cloudflare 致力于增强其检测方法和响应时间,以减轻此类事件在未来的影响。
该公司继续倡导广泛采用 RPKI 和其他安全机制,如自治系统提供商授权 (ASPA),以保障 BGP 路由的完整性。Cloudflare 不断努力增强互联网抵御此类攻击的能力,这对于确保全球用户获得稳定、安全的在线体验至关重要。
扩展阅读
什么是 BGP Hijacking 和路由泄漏?
BGP Hijacking(BGP 劫持)和路由泄漏(Route Leak)是两种可能影响互联网路由的安全事件:
BGP 劫持(BGP Hijacking):BGP 劫持是一种攻击行为,攻击者错误地或恶意地宣称他们拥有某个 IP 地址块(也称为前缀或网络范围)。BGP(边界网关协议)是互联网上用于在自治系统(AS)之间交换路由信息的协议。当一个 AS 错误地或恶意地宣称它拥有它实际上并不拥有的 IP 地址块时,其他 AS 可能会错误地将流量发送到错误的地方,从而导致服务中断或数据劫持。BGP 劫持可以用来执行中间人攻击,窃取或篡改数据。
路由泄漏(Route Leak):路由泄漏是指一个 AS 错误地向其他 AS 宣告了它本不应该宣告的路由信息。这通常是由于配置错误或路由过滤不当造成的。路由泄漏可能导致流量被不正确地重新路由到错误的网络,这可能导致性能问题、服务中断或安全风险。与 BGP 劫持不同,路由泄漏通常是非恶意的,但其后果可能与 BGP 劫持类似,包括服务不可用或流量被错误地引导到不安全的网络。
两者都可能导致互联网上的流量被错误地路由,影响网络的可用性和安全性。为了防止这些问题,网络运营商需要实施适当的路由安全措施,如资源公钥基础设施(RPKI),以验证 BGP 路由更新的真实性,并确保路由信息的正确传播。
原文链接:https://securityonline.info/cloudflares-1-1-1-1-dns-service-disrupted-by-bgp-hijacking-and-route-leak/
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/93415.html
