غول اینترنتی Cloudflare گزارش داده است که سرویس ریسولور DNS آن، که با 1.1.1.1 شناخته میشود، اخیرا برای برخی از مشتریانش به دلیل ترکیبی از هایجک Border Gateway Protocol (BGP) و نشت مسیر، غیرقابل دسترس یا تخریب شده است.

این حادثه هفته گذشته رخ داد و ٣٠٠ شبکه را در ٧٠ کشور تحت تاثیر قرار داد. علیرغم این اعداد، این شرکت میگوید که تاثیر آن «بسیار کم» بوده و در برخی کشورها کاربران حتی متوجه آن نشده اند.

چگونگی حادثه

مجموعه Cloudflare میگوید که در ساعت 06:51 بعد از ظهر به وقت ایالات متحده آمریکا در 7 تیر 1403، Eletronet S.A (AS267613) شروع به اعلام آدرس IP 1.1.1.1/32 به همتایان و ارائه دهندگان بالادستی خود کرد.

این اعلان نادرست توسط چندین شبکه، ازجمله یک ارائه دهنده سطح 1، که آن را به عنوان مسیر Remote Triggered Blackhole (RTBH) در نظر گرفت، پذیرفته شد.

هایجک شدن به این دلیل رخ داد که مسیریابی BGP به سمت خاص ترین مسیر است. اعلان AS267613 در مورد 1.1.1.1/32 ویژه تر از Cloudflare 1.1.1.0/24 بود و شبکهها را به سمت مسیر ترافیک نادرست AS267613 سوق داد.

در نتیجه، ترافیک در نظر گرفته شده برای ریسولور DNS 1.1.1.1 Cloudflare اصطلاحا بلکهول یا ریجکت شد و از این رو، این سرویس برای برخی از کاربران در دسترس نبود.

یک دقیقه بعد، Nova Rede de Telecomunicações Ltda (AS262504) به اشتباه 1.1.1.0/24 را در بالادست AS1031 افشا کرد که آن را بیشتر کرد و بر روتینگ جهانی تاثیر گذاشت.

این نشت مسیرهای روتینگ معمولی BGP را تغییر داد، و باعث شد که ترافیکی که برای 1.1.1.1 تعیین شده بود، نادرست مسیریابی شود، مشکل هایجک را تشدید کرد و مشکلات دسترسی و تاخیر اضافی را ایجاد کرد.

مجموعه Cloudflare مشکلات را در حدود ساعت 08:00 بعد از ظهر شناسایی کرد و تقریبا دو ساعت بعد هایجک را حل کرد. نشت مسیر در ساعت 8:28 برطرف شد.

نحوه حل مشکل…

پاسخ اولیه Cloudflare این بود که با شبکه های درگیر در حادثه ارتباط گرفته و درعین حال نشست های همتا را با تمام شبکه های مشکل ساز غیرفعال کرد تا سطح تاثیرات را کاهش دهد و از انتشار بیشتر مسیرهای نادرست جلوگیری کند.

این شرکت توضیح داد که اعلان های نادرست به دلیل اتخاذ زیرساخت کلید عمومی منابع (RPKI)، که منجربه رد خودکار مسیرهای نامعتبر شد، روی مسیریابی شبکه داخلی تاثیری نداشته است.

راه حل های بلندمدت Cloudflare ارائه شده برای حل و رفع این مشکلات عبارتند از:

• سیستم های تشخیص نشت مسیر را با ترکیب منابع داده بیشتر و ادغام نقاط داده لحظه های تقویت کنید.
• زیرساخت کلید عمومی منبع (RPKI) برای اعتبارسنجی مبدا مسیر (ROV) را اعمال کنید.
• پذیرش Mutually Agreed Norms که برای اصول مسیریابی امنیتی (MANRS)، که شامل ریجکت کردک طول پیشوندهای نامعتبر و اجرای مکانیزم های فیلتر قوی است را اعمال نمایید.
• شبکه ها را تشویق کنید که پیشوندهای IPv4 طولانی تر از 24/ را در منطقه آزاد پیشفرض (DFZ) ریجکت کنند.
• استقرار اشیاء ASPA (که در حال حاضر توسط IETF تهیه شده است)، که برای اعتبارسنجی مسیر AS در اعلامیه های BGP استفاده میشود را در نظر بگیرید.
• پتانسیل اجرای RFC9234 و Discard Origin Authorization (DOA) را بررسی کنید.