全球F、E根服務(wù)器癱瘓、BGP路由出故障：全是bug惹的禍！

一番調(diào)查讓人們對(duì)關(guān)于私有vs公共Web管理提出了嚴(yán)峻問(wèn)題。

據(jù)互聯(lián)網(wǎng)系統(tǒng)聯(lián)盟(ISC)本周發(fā)布的一份報(bào)告顯示，Cloudflare發(fā)布的軟件存在一處bug，結(jié)果導(dǎo)致互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的核心部分出現(xiàn)故障。

ISC運(yùn)行所謂的F根(F root)服務(wù)器，這是全球的13臺(tái)根DNS服務(wù)器之一，它們被標(biāo)記為A到M。這些服務(wù)器是支撐全球互聯(lián)網(wǎng)的中央計(jì)算機(jī)：比如說(shuō)，它們確保你在訪問(wèn)yuntoutiao.com時(shí)，被定向到為我們的主頁(yè)提供服務(wù)的正確系統(tǒng)。

今年1月23日，ISC接到了反映.net域出故障的報(bào)告。它在調(diào)查后發(fā)現(xiàn)缺失了關(guān)鍵的A記錄和AAAA記錄，而這些記錄負(fù)責(zé)將.net域名與IPv4和IPv6網(wǎng)絡(luò)地址綁定起來(lái)。

實(shí)際上，所有以.net結(jié)尾的互聯(lián)網(wǎng)地址從ISC的F根服務(wù)器統(tǒng)統(tǒng)消失了，.net是互聯(lián)網(wǎng)上數(shù)量最多的注冊(cè)域名之一，共有1340萬(wàn)個(gè)域名。最終依靠F根服務(wù)器連接到眾多網(wǎng)站和服務(wù)的任何瀏覽器、應(yīng)用程序、計(jì)算機(jī)或設(shè)備都將無(wú)法通過(guò)其.net地址訪問(wèn)那些系統(tǒng)，這是最糟糕的情況。

這個(gè)問(wèn)題也不僅僅局限于ISC的F根服務(wù)器。報(bào)告聲稱，美國(guó)宇航局(NASA)運(yùn)營(yíng)的E根服務(wù)器也遇到了類似的問(wèn)題。

錯(cuò)誤修正版

從響應(yīng)時(shí)間表來(lái)看，ISC在5分鐘內(nèi)迅速搞清楚了情況：?jiǎn)栴}出在它與Cloudflare合作運(yùn)營(yíng)的互聯(lián)網(wǎng)節(jié)點(diǎn)上，于是將該問(wèn)題上報(bào)給了這家互聯(lián)網(wǎng)基礎(chǔ)設(shè)施公司。Cloudflare也很快采取了行動(dòng)，它在21分鐘內(nèi)就查明了罪魁禍?zhǔn)资前l(fā)布的特定代碼，該代碼旨在修復(fù)四小時(shí)前帶入的一個(gè)bug。

不過(guò)報(bào)告話鋒一轉(zhuǎn)，提到了脆弱不堪的邊界網(wǎng)關(guān)協(xié)議(BGP)：互聯(lián)網(wǎng)錯(cuò)綜復(fù)雜的龐大網(wǎng)絡(luò)使用BGP，自動(dòng)組織管理對(duì)方，并保持彼此之間的連接。

不管怎樣，花了近兩個(gè)小時(shí)的時(shí)間才撤回了導(dǎo)致該問(wèn)題的BGP通告(BGP announcement)，ISC特別指出這項(xiàng)工作本應(yīng)該更快地完成。該報(bào)告在“汲取的經(jīng)驗(yàn)教訓(xùn)”部分寫(xiě)道：“回想起來(lái)，一旦發(fā)現(xiàn)在提供不完整/不正確的數(shù)據(jù)，我們本應(yīng)該立即從BGP撤回路由前綴。”

報(bào)告繼續(xù)稱：“撤回路由并沒(méi)有按預(yù)期的順利進(jìn)行，于是Cloudflare和ISC同意執(zhí)行常規(guī)的測(cè)試以實(shí)施這項(xiàng)功能……測(cè)試套件已經(jīng)更新，添加了針對(duì)缺失的A記錄和AAAA記錄的測(cè)試，ISC和Cloudflare將竭力設(shè)計(jì)進(jìn)一步的一致性測(cè)試。”

資金當(dāng)?shù)?，穩(wěn)定性靠邊

由于全球DNS的工作方式，信息通過(guò)名稱服務(wù)器、冗余配置和緩存的分布式層次結(jié)構(gòu)一路向下傳輸，并且每隔幾小時(shí)到幾秒鐘全局更新一次，對(duì)網(wǎng)民的影響絕對(duì)最小。由于E根服務(wù)器和F根服務(wù)器暫時(shí)癱瘓，眾多瀏覽器和應(yīng)用程序就只好尋找另外的途徑來(lái)查詢.net地址。

然而事態(tài)很嚴(yán)重，這主要是由于公共互聯(lián)網(wǎng)的全球?qū)ぶ废到y(tǒng)的底層基礎(chǔ)部分居然被一家私人公司一次不起眼的軟件更新搞砸了。

進(jìn)行軟件更新的是Cloudflare，這家商業(yè)組織結(jié)合使用開(kāi)源軟件和閉源軟件。盡管數(shù)十年來(lái)迎來(lái)了急劇發(fā)展，互聯(lián)網(wǎng)還是獲得了如此超長(zhǎng)的正常運(yùn)行時(shí)間，這還得歸功于它奉行的傳統(tǒng)：使用開(kāi)源軟件，認(rèn)真細(xì)致地檢查和測(cè)試更新，維護(hù)者組織不受商業(yè)考量因素的干擾。

正如一名資深的互聯(lián)網(wǎng)工程師Bill Woodcock在Twitter上特別指出：“當(dāng)公共互聯(lián)網(wǎng)的關(guān)鍵功能被征用以牟取私人公司的利益時(shí)，會(huì)發(fā)生什么?透明度和問(wèn)責(zé)制喪失殆盡，基礎(chǔ)設(shè)施支出削減，系統(tǒng)壞掉。”

這個(gè)問(wèn)題也不是學(xué)術(shù)問(wèn)題。Woodcock最近就.org擬定出售給一家不知名的私募股權(quán)公司發(fā)出了警告——他公司為管理.org的互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)提供技術(shù)后端服務(wù)。鑒于擬議收購(gòu)者出于獲利的動(dòng)機(jī)，他得出結(jié)論：技術(shù)支出可能會(huì)大幅縮減，這使得這個(gè)重要域名注冊(cè)機(jī)構(gòu)的穩(wěn)定性令人堪憂。他就此問(wèn)題寫(xiě)信給DNS監(jiān)管組織ICANN，建議應(yīng)停止這次擬議的出售。

他也不是唯一對(duì)此表示關(guān)切的互聯(lián)網(wǎng)工程師。Bert Hubert的公司開(kāi)發(fā)開(kāi)源DNS軟件，對(duì)于這份ISC報(bào)告他特別指出：“閉源Cloudflare軟件存在的一個(gè)錯(cuò)誤導(dǎo)致了閉源Akamai在美國(guó)一家大型有線接入提供商出現(xiàn)崩潰。”

斷點(diǎn)

Hubert最近大聲疾呼，他擔(dān)心Firefox會(huì)使用Cloudflare作為其安全DNS：DNS-over-HTTPS(DoH)協(xié)議的默認(rèn)提供商：最近，Mozilla已開(kāi)始向美國(guó)的所有Firefox用戶啟用加密的DoH。

如果Cloudflare閉源軟件中的軟件錯(cuò)誤會(huì)導(dǎo)致根服務(wù)器使互聯(lián)網(wǎng)中整個(gè)很重要的部分銷聲匿跡，那么某個(gè)時(shí)候類似的問(wèn)題很可能會(huì)導(dǎo)致Firefox用戶失去安全DNS連接。而這可能會(huì)導(dǎo)致他們完全失去互聯(lián)網(wǎng)(互聯(lián)網(wǎng)仍會(huì)存在，但是大多數(shù)用戶根本不知道原因是什么或如何解決問(wèn)題。)

互聯(lián)網(wǎng)工程師常常重復(fù)一句著名的話：“互聯(lián)網(wǎng)把審查制度解釋為破壞，并繞過(guò)它”，這句話最初由電子前沿基金會(huì)(EFF)聯(lián)合創(chuàng)始人John Gilmore首次提出來(lái)。這句話具有極為廣泛的含義，常常被工程師們用來(lái)基本上表示“別為此而擔(dān)心，互聯(lián)網(wǎng)一直在壞掉。”互聯(lián)網(wǎng)每分每秒在壞掉，但幾乎立即自行修復(fù)過(guò)來(lái)。

但是隨著互聯(lián)網(wǎng)的商業(yè)化氣息越來(lái)越濃，以逐利為目的的私人公司日益介入互聯(lián)網(wǎng)基礎(chǔ)設(shè)施的基礎(chǔ)層，ISC針對(duì)該F根服務(wù)器事件的報(bào)告很可能為今后出現(xiàn)的狀況敲響了警鐘。

Cloudflare的發(fā)言人駁斥了關(guān)于應(yīng)歸咎于其軟件是閉源性質(zhì)的任何說(shuō)法

Cloudflare的工程師Martin Levy稱：“那是一個(gè)很極端的案例。用非此即彼的角度(即開(kāi)源是好的，閉源是壞的)看待這個(gè)問(wèn)題有失公允。我們?yōu)殚_(kāi)源世界貢獻(xiàn)了大量的軟件。”

他稱，Cloudflare對(duì)即將部署的軟件進(jìn)行了“極其嚴(yán)格的測(cè)試，但我們沒(méi)有注意到這個(gè)特殊的情況”;任何破壞是“非常局部性的”。簡(jiǎn)而言之，當(dāng)初更改代碼是為了替某個(gè)客戶改進(jìn)字符編碼處理，卻沒(méi)想到引發(fā)了連鎖反應(yīng)。

在我們看來(lái)，BGP路由故障似乎導(dǎo)致了根服務(wù)器放棄其gTLD A和AAAA記錄，這可能是由于它們從再也無(wú)法訪問(wèn)的另一個(gè)系統(tǒng)獲取那些詳細(xì)信息。請(qǐng)參閱報(bào)告的最后兩頁(yè)。

此外，這影響了由F根服務(wù)器和E根服務(wù)器處理的所有域名，而不僅僅是.net域名，不過(guò).net在ISC看來(lái)很顯眼，因?yàn)樗腔ヂ?lián)網(wǎng)上相當(dāng)龐大而重要的一部分。

本文標(biāo)題：全球F、E根服務(wù)器癱瘓、BGP路由出故障：全是bug惹的禍！
分享路徑：http://www.muchs.cn/news29/202329.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供小程序開(kāi)發(fā)、企業(yè)建站、靜態(tài)網(wǎng)站、品牌網(wǎng)站設(shè)計(jì)、網(wǎng)站導(dǎo)航、網(wǎng)站設(shè)計(jì)公司

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)