Срив в 1.1.1.1 DNS услугата на Cloudflare заради неправилна BGP конфигурация

Бавен резолвинг и липса на достъп до популярната публична DNS услуга 1.1.1.1 на Cloudflare за 1% от интернет потребителите на глобално ниво бяха причинени от комбинация от две грешни BGP конфигурации.

BGP (Border Gateway Protocol), който е в основата на маршрутизирането в интернет, е уязвим както към хакерски атаки, така и към проблеми със сгрешени конфигурации. В случая с инцидента на Cloudflare, бразилският мрежов оператор Eletronet (AS267613) погрешно обявява собственост върху префикса 1.1.1.1/32, отклонявайки трафика от сървърите на Cloudflare. Едновременно с това друга бразилска мрежа, Nova Rede de Telecomunicações (AS262504), по погрешка анонсира префикса 1.1.1.0/24 нагоре по веригата, допълнително усложнявайки проблема.

Този двустранен проблем доведе до моментна недостъпност на 1.1.1.1 от над 300 мрежи в 70 страни, като основното въздействие е било върху потребителите във Великобритания и Германия.

Инцидента ясно показва колко важно да продължи внедряването на защитни механизми като Resource Public Key Infrastructure (RPKI) и Autonomous Systems Provider Authorization (ASPA), за да се намалят подобни проблеми в бъдеще.

Exit mobile version