2024年第一季度互聯(lián)網(wǎng)中斷事件概要

Cloudflare的網(wǎng)絡(luò)覆蓋120多個(gè)國(guó)家/地區(qū)的310多個(gè)城市，與超過(guò)13000個(gè)網(wǎng)絡(luò)提供商互連，為數(shù)百萬(wàn)客戶提供廣泛的服務(wù)。鑒于我們的網(wǎng)絡(luò)和客戶群的廣度，我們具有對(duì)互聯(lián)網(wǎng)韌性的獨(dú)特視角，從而能夠觀察到互聯(lián)網(wǎng)中斷的影響。得益于最近發(fā)布的Cloudflare Radar功能，本季度我們開(kāi)始從網(wǎng)絡(luò)和位置級(jí)別的路由和流量角度探索這些影響。

2024年第一季度伊始，互聯(lián)網(wǎng)發(fā)生了多起中斷事件。陸地和海底電纜的損壞在多個(gè)地方造成了問(wèn)題，而與持續(xù)中地緣政治沖突相關(guān)的軍事行動(dòng)影響了其他地區(qū)的連接。幾個(gè)非洲國(guó)家以及巴基斯坦的政府下令關(guān)閉互聯(lián)網(wǎng)，主要針對(duì)移動(dòng)網(wǎng)絡(luò)連接。被稱為Anonymous Sudan的惡意行為者宣布對(duì)導(dǎo)致以色列和巴林互聯(lián)網(wǎng)連接中斷的網(wǎng)絡(luò)攻擊負(fù)責(zé)。設(shè)施維護(hù)和停電迫使用戶下線，導(dǎo)致流量明顯下降。同時(shí)，更不尋常的是，RPKI、DNS和DNSSEC問(wèn)題成為多個(gè)網(wǎng)絡(luò)服務(wù)提供商用戶連接中斷的其中一些技術(shù)問(wèn)題。

正如我們過(guò)去所指出的，這篇文章旨在作為觀察到的干擾情況的總結(jié)性概述，而不是本季度所發(fā)生問(wèn)題的詳盡或完整清單。

電纜切斷

-Moov Africa Tchad

1月10日喀麥隆發(fā)生的光纖受損事件，導(dǎo)致AS327802（Moov Africa Tchad/Millicom）（乍得電信服務(wù)提供商）的用戶連接進(jìn)一步中斷。Moov Africa Tchad發(fā)布的Facebook帖子稱（譯文）,“2024年1月10日下午，原因是來(lái)自喀麥隆的光纖（乍得通過(guò)該光纖接入互聯(lián)網(wǎng)）被切斷，而來(lái)自蘇丹的光纖一段時(shí)間內(nèi)不可用?！蹦壳吧胁磺宄岬降碾娎|切斷是發(fā)生在喀麥隆還是乍得，而提及的蘇丹光纖問(wèn)題可能是我們?cè)?023年第四季度貼文中所介紹過(guò)的光纖切斷。作為內(nèi)陸國(guó)家，乍得依賴于通過(guò)/到達(dá)鄰國(guó)的陸地互聯(lián)網(wǎng)連接，AfTerFibre電纜地圖顯示了對(duì)通過(guò)喀麥隆和蘇丹的有限電纜連接的依賴。

如下圖表顯示從1月10日中午（UTC）開(kāi)始，Moov Africa Tchad流量中斷了超過(guò)12個(gè)小時(shí)，而且中斷在國(guó)家/地區(qū)層面也很明顯。從路由的角度來(lái)看，光纖切斷也導(dǎo)致了顯著的波動(dòng)，在中斷期間，公告IPv4地址空間數(shù)量在網(wǎng)絡(luò)和國(guó)家層面頻繁變化。

在1月11日上午（UTC）也觀察到了第二次嚴(yán)重程度較低的中斷。據(jù)報(bào)道該次中斷的原因是Anonymous Sudan組織發(fā)動(dòng)的一次網(wǎng)絡(luò)攻擊，其目標(biāo)是AS328594（SudaChad Telecom），Moov Africa Tchad的上游提供商。

-Orange Burkina Faso

2月15日，在AS37577（Orange Burkina Faso）網(wǎng)絡(luò)上觀察到一次短暫（約30分鐘）但嚴(yán)重的完全互聯(lián)網(wǎng)中斷。根據(jù)該提供商在社交媒體上發(fā)布的公告譯文，“事件原因是光纖切斷，導(dǎo)致某些客戶的互聯(lián)網(wǎng)服務(wù)中斷?！監(jiān)range沒(méi)有具體說(shuō)明這是一次更局部的光纖切斷，還是穿越該國(guó)的地面光纖受到損壞。事件導(dǎo)致網(wǎng)絡(luò)完全離線，期間該ASN的公告IPv4地址空間數(shù)量在此期間降至零。

-MTN Nigeria

MTN Nigeria于2月28日通過(guò)社交媒體告知客戶“由于多次光纖切斷導(dǎo)致服務(wù)中斷影響語(yǔ)音和數(shù)據(jù)服務(wù)，您在連接網(wǎng)絡(luò)方面遇到了困難?！币环莅l(fā)布的報(bào)告描述了這一影響，指出“全國(guó)數(shù)百萬(wàn)客戶受到長(zhǎng)達(dá)數(shù)小時(shí)的中斷影響，尤其是在拉各斯?！碑?dāng)?shù)貢r(shí)間13:30-20:30（12:30-19:30 UTC），連接中斷了約7個(gè)小時(shí)。該提供商在當(dāng)?shù)貢r(shí)間午夜前發(fā)布了后續(xù)通知，聲明服務(wù)已完全恢復(fù)。

-Digicel Haiti

3月2/3日，AS27653（Digicel Haiti）發(fā)生一次持續(xù)16小時(shí)的互聯(lián)網(wǎng)中斷，原因是與推翻總理Ariel Henry的企圖相關(guān)的暴力事件導(dǎo)致兩次光纖切斷。從3月2日當(dāng)?shù)貢r(shí)間22:00左右（3月3日03:00）開(kāi)始，觀察到持續(xù)大約9個(gè)小時(shí)的完全中斷。流量在大約兩個(gè)半小時(shí)內(nèi)有所恢復(fù)，隨后是一次持續(xù)3個(gè)小時(shí)的接近完全中斷。在長(zhǎng)達(dá)9小時(shí)的中斷期間，Digicel Haiti實(shí)際上從互聯(lián)網(wǎng)上消失了，因?yàn)樵诖似陂g該網(wǎng)絡(luò)沒(méi)有公告任何IPv4或IPv6地址空間。

-SKY（菲律賓）

3月18日，在菲律賓的AS23944（SKY）網(wǎng)絡(luò)觀察到一次短暫的流量中斷，可能與光纖切斷有關(guān)。SKY在社交媒體發(fā)布的通告中表示“在馬里基納、帕西格和奎松市的幾個(gè)地區(qū)，SKY服務(wù)目前受到光纖切斷問(wèn)題的影響”，并列出了45個(gè)受影響的地區(qū)。流量在當(dāng)?shù)貢r(shí)間20:00至21:00（12:00-13:00 UTC）期間受影響最明顯，直至過(guò)數(shù)小時(shí)后才完全恢復(fù)。據(jù)觀察，光纖切斷僅對(duì)路由造成了輕微影響。

-多個(gè)非洲國(guó)家

3月14日，非洲西海岸附近多條海底電纜受損，影響了非洲西部和南部多個(gè)國(guó)家的互聯(lián)網(wǎng)連接。據(jù)報(bào)道這次破壞是由水下落石造成的，除了互聯(lián)網(wǎng)連接中斷外，還導(dǎo)致Microsoft Azure和Office 365云服務(wù)的可用性問(wèn)題。

非洲海岸到歐洲（ACE）、大西洋海底電纜3/西非海底電纜（SAT-3/WASC）、西非電纜系統(tǒng)（WACS）和MainOne電纜均受損，影響到13個(gè)非洲國(guó)家，包括貝寧、布基納法索、喀麥隆、科特迪瓦、岡比亞、加納、幾內(nèi)亞、利比里亞、納米比亞、尼日爾、尼日利亞、南非和多哥。

在尼日爾、幾內(nèi)亞和岡比亞觀察到的中斷時(shí)間相對(duì)較短，介乎不到一小時(shí)到大約兩小時(shí)不等。

然而，在多哥、利比里亞和加納等國(guó)家，中斷持續(xù)了多日，流量花了幾周時(shí)間才恢復(fù)到之前觀察到的峰值水平。

受影響國(guó)家的運(yùn)營(yíng)商試圖通過(guò)將流量轉(zhuǎn)移到Google的Equiano海底電纜（據(jù)稱該電纜的流量增加了4倍）和摩洛哥的Maroc Telecom West Africa海底電纜來(lái)維持可用性。到4月6日，SAT-3電纜的服務(wù)已完全恢復(fù)，ACE的維修于4月17日完成，WACS和MainOne的維修預(yù)計(jì)于4月28日完成。

-紅海

2月24日，穿越紅海的三條海底電纜受損：Seacom/Tata電纜、Asia Africa Europe-1（AAE-1）和Europe India Gateway（EIG）。據(jù)信這些電纜是被Rubymar號(hào)貨船的錨割斷的。這艘貨船在2月18日被彈道導(dǎo)彈擊中并受損。在中斷發(fā)生時(shí)，Seacom確認(rèn)其電纜受損，而另外兩條電纜的所有者均未發(fā)布類似的確認(rèn)。

雖然電纜切斷據(jù)稱影響了東非的幾個(gè)國(guó)家，包括坦桑尼亞、肯尼亞、烏干達(dá)和莫桑比克，在Cloudflare Radar上沒(méi)有觀察到這些國(guó)家的流量出現(xiàn)下降。

軍事行動(dòng)

-蘇丹

2月2日，Cloudflare觀察到AS15706（Sudatel）和AS36972（MTN Sudan）流量下降，在2月7日觀察到AS36998（Zain Sudan/SDN Mobitel）發(fā)生類似的下降。MTN Sudan的中斷符合該提供商發(fā)布的社交媒體帖子，其中表示（譯文）“我們對(duì)由于不可抗力導(dǎo)致的所有服務(wù)中斷表示遺憾。在我們?yōu)榇舜沃袛嘣斐傻牟槐阆蚰狼傅耐瑫r(shí)，我們保證將盡快恢復(fù)服務(wù)，并將在服務(wù)恢復(fù)時(shí)通知您?！?月5日，即中斷開(kāi)始幾天后，Zain Sudan發(fā)布社交媒體帖子稱（譯文）“Zain Sudan一直在努力維持通信和互聯(lián)網(wǎng)服務(wù)，以服務(wù)于我們的重要用戶。我們希望指出，當(dāng)前的網(wǎng)絡(luò)中斷是不受我們控制的原因造成的，我們希望安全至上，且服務(wù)將盡快恢復(fù)?！盨udatel沒(méi)有就其網(wǎng)絡(luò)狀態(tài)發(fā)布任何消息。2月4日，Digital Rights Lab-Sudan在社交媒體發(fā)帖稱“我們的消息來(lái)源證實(shí) RSFSudan部隊(duì)接管了蘇丹喀土穆的ISP數(shù)據(jù)中心?！痹谶@些提供商觀察到的互聯(lián)網(wǎng)中斷可能與以上接管有關(guān)，這是2023年4月15日以來(lái)該國(guó)持續(xù)至今的軍事沖突的一部分。

這些網(wǎng)絡(luò)的中斷時(shí)間長(zhǎng)短各異。Sudatel的流量在2月11日開(kāi)始恢復(fù)。Zain Sudan的流量在3月3日開(kāi)始恢復(fù)，符合一篇社交媒體帖子所稱（譯文）“Zain網(wǎng)絡(luò)正在逐步恢復(fù)工作，并允許其用戶在有限的時(shí)間內(nèi)免費(fèi)通訊。Zain承諾將繼續(xù)努力恢復(fù)在其他各州的網(wǎng)絡(luò)。”到第一季度末，MTN Sudan的流量尚未恢復(fù)。

-烏克蘭

今年2月，烏克蘭/俄羅斯沖突已經(jīng)持續(xù)了兩年，在此期間我們報(bào)告了烏克蘭境內(nèi)因沖突相關(guān)事件造成的多起互聯(lián)網(wǎng)中斷事件。2月22日，烏克蘭幾處能源設(shè)施被破壞，導(dǎo)致大范圍停電。這些停電導(dǎo)致烏克蘭多個(gè)地區(qū)的互聯(lián)網(wǎng)中斷，包括哈爾科夫、扎波羅熱、敖德薩、第聶伯羅彼得羅夫斯克州和赫梅利尼茨基州。流量最初下降發(fā)生在當(dāng)?shù)貢r(shí)間05:00（03:00 UTC）左右，哈爾科夫的流量下降幅度高達(dá)68%。然而與前一周相比，所有地區(qū)的流量水平在幾天內(nèi)均有所下降。

-加沙地帶

在我們的2023年第四季度互聯(lián)網(wǎng)中斷事件概要博客文章中，我們提到，在10月、11月和12月期間，Paltel（巴勒斯坦電信公司）在社交媒體上發(fā)布了幾篇關(guān)于其固定電話、移動(dòng)電話和互聯(lián)網(wǎng)服務(wù)中斷的帖子。在2024年第一季度期間，我們?cè)?月12日、1月22日和3月5日觀察到類似的中斷。Paltel將這些中斷歸因于與以色列之間的沖突有關(guān)的持續(xù)攻擊。

該季度期間的相關(guān)中斷持續(xù)時(shí)間長(zhǎng)短不一，介乎僅幾個(gè)小時(shí)到一周以上不等。下圖展示每次中斷，包括Paltel在加沙地帶四個(gè)巴勒斯坦省份的流量。雖然加沙省的流量似乎發(fā)生了中斷，但網(wǎng)絡(luò)連接仍然可用，而在汗尤尼斯省、拉法省和迪爾巴勒赫省則發(fā)生了完全的中斷。

1月12-19日

1月22-24日

3月5日

網(wǎng)絡(luò)攻擊

除了前面討論過(guò)的，在1月11日影響了AS327802（Moov Africa Tchad/Millicom）的網(wǎng)絡(luò)攻擊外，第一季度期間還觀察到另外幾起由網(wǎng)絡(luò)攻擊引起的互聯(lián)網(wǎng)中斷。

-HotNet Internet Services（以色列）

Anonymous Sudan據(jù)稱對(duì)AS12849（HotNet互聯(lián)網(wǎng)服務(wù)）——一家主要以色列電信服務(wù)提供商——發(fā)動(dòng)了一場(chǎng)攻擊。這次攻擊顯然很短暫，僅在當(dāng)?shù)貢r(shí)間2月20日22:00至2月21日00:00（2月20日20:00-22:00 UTC）導(dǎo)致流量中斷。攻擊發(fā)生期間，HotNet公告的IPv4和IPv6地址空間數(shù)量下降至零。

-Zain Bahrain

Anonymous Sudan據(jù)稱也對(duì)AS31452（Zain Bahrain）發(fā)動(dòng)了一次網(wǎng)絡(luò)攻擊。這次攻擊的嚴(yán)重程度似乎低于針對(duì)以色列HotNet的那次，但持續(xù)時(shí)間明顯更長(zhǎng)，流量在當(dāng)?shù)貢r(shí)間3月3日20:45至3月4日18:15（3月3日17:45至3月4日15:15 UTC）發(fā)生中斷。沒(méi)有觀察到公告IP地址空間的影響。Zain Bahrain在3月4日發(fā)布的社交媒體帖子中承認(rèn)了連接中斷，并指出（譯文）“我們希望通知您，一些客戶在使用我們部分服務(wù)時(shí)可能會(huì)遇到困難。我們的技術(shù)團(tuán)隊(duì)正在盡快解決這些困難?！?/p>

-烏克蘭的多個(gè)網(wǎng)絡(luò)

3月13日，烏克蘭多家電信提供商遭到攻擊，包括AS16066（Triangulum）、AS34359（Link Telecom Ukraine）、AS197522（Kalush Information Network）、AS52074（Mandarun）和AS29013（LinkKremen）。Triangulum似乎受到最嚴(yán)重的影響，在3月13日至20日期間流量幾乎完全消失，如下圖所示。Triangulum在其網(wǎng)站上發(fā)布通知稱，

“2024年3月13日,烏克蘭的多家提供商遭到了一次黑客攻擊。2024年3月13日上午10:28，我公司的網(wǎng)絡(luò)發(fā)生大規(guī)模技術(shù)故障，導(dǎo)致無(wú)法提供電子通信服務(wù)。公司員工與網(wǎng)絡(luò)警察和國(guó)家網(wǎng)絡(luò)安全協(xié)調(diào)中心的員工一起，日以繼夜地采取綜合性措施，旨在盡快恢復(fù)全部服務(wù)。服務(wù)正在逐步恢復(fù)。完全恢復(fù)可能需要幾天時(shí)間。”

其他受影響的提供商經(jīng)歷的連接中斷時(shí)間相對(duì)較短。Mandarun的幾乎完全中斷持續(xù)了大約一天，而其他提供商的中斷持續(xù)了大約七個(gè)小時(shí)，從當(dāng)?shù)貢r(shí)間3月13日11:30（09:30 UTC）左右開(kāi)始，連接在3月14日當(dāng)?shù)貢r(shí)間08:00（06:00 UTC）恢復(fù)到正常水平。

政府指令

科摩羅

在阿扎利·阿蘇馬尼總統(tǒng)再次當(dāng)選后的抗議活動(dòng)中，科摩羅當(dāng)局據(jù)稱在1月17日關(guān)閉了互聯(lián)網(wǎng)連接。雖然從1月17日當(dāng)?shù)貢r(shí)間12:00（09:00 UTC）到1月19日當(dāng)?shù)貢r(shí)間17:30（14:30 UTC）期間，在國(guó)家層面觀察到一定程度的的流量中斷，但來(lái)自AS36939（Comores Telecom）的流量中斷要明顯得多，在這兩天內(nèi)發(fā)生了數(shù)次幾乎完全中斷。盡管Comores Telecom宣布了有限數(shù)量的IPv4地址空間，但在1月17日和18日期間，數(shù)量波動(dòng)非常大，幾次降至零。

-Sudatel Senegal/Expresso Telecom和Tigo/Free（塞內(nèi)加爾）

2月4日，塞內(nèi)加爾通信、電信和數(shù)字事務(wù)部長(zhǎng)下令從當(dāng)?shù)貢r(shí)間22:00（22:00 UTC）開(kāi)始暫停移動(dòng)互聯(lián)網(wǎng)連接。此舉是在總統(tǒng)選舉推遲后爆發(fā)抗議活動(dòng)的背景下采取的。來(lái)自AS37196（Sudatel Senegal/Expresso Telecom）的流量在暫停生效時(shí)大幅下降，然后在當(dāng)?shù)貢r(shí)間2月7日約07:30（07:30 UTC）恢復(fù)。來(lái)自AS37649（Tigo/Free）的流量在當(dāng)?shù)貢r(shí)間2月5日約09:30（09:30 UTC）左右下降，該提供商通過(guò)社交媒體將暫停一事通知用戶。Tigo/Free上的流量在2月7日當(dāng)?shù)貢r(shí)間午夜左右（00:00 UTC）恢復(fù)，該提供商再次使用社交媒體通知用戶服務(wù)可用的消息。兩家提供商的公告IP地址空間沒(méi)有變化，表明移動(dòng)互聯(lián)網(wǎng)連接的暫停并非在路由級(jí)別進(jìn)行。

大約一周后的2月13日，在活動(dòng)分子團(tuán)體計(jì)劃發(fā)動(dòng)游行以抗議總統(tǒng)選舉推遲的不滿前，塞內(nèi)加爾政府再次下令暫停移動(dòng)互聯(lián)網(wǎng)連接。移動(dòng)互聯(lián)網(wǎng)的關(guān)閉在Tigo/Free上最為明顯，該網(wǎng)絡(luò)在當(dāng)?shù)貢r(shí)間10:15至19:45（10:15至19:45 UTC）期間遭遇了重大中斷。

-巴基斯坦

據(jù)一篇發(fā)布的報(bào)告，巴基斯坦電信管理局（PTA）表示，2月8日公民前往投票站選舉新政府期間，互聯(lián)網(wǎng)服務(wù)將保持可用。然而，當(dāng)天全國(guó)選民前往投票站投票時(shí)，巴基斯坦當(dāng)局切斷了全國(guó)的移動(dòng)互聯(lián)網(wǎng)訪問(wèn)，當(dāng)局稱此舉是為了在前一日發(fā)生的暴力事件后“維持法律與秩序”。這次下令關(guān)閉的影響在巴基斯坦多家互聯(lián)網(wǎng)提供商的網(wǎng)絡(luò)均可見(jiàn)，包括AS59257（Zong/CMPak）、AS24499（Telenor Pakistan）和AS45669（Jazz/Mobilink），從7:00直到20:00（02:00-15:00 UTC），流量在大約9個(gè)小時(shí)后恢復(fù)到預(yù)期水平。Internet Society的一篇Pulse博客文章估計(jì)，這次關(guān)閉使巴基斯坦損失了近1850萬(wàn)美元的國(guó)內(nèi)生產(chǎn)總值。

-乍得

2月28日至3月7日期間，在乍得觀察到多次互聯(lián)網(wǎng)中斷。第一次中斷開(kāi)始于2月28日當(dāng)?shù)貢r(shí)間10:45，持續(xù)到3月1日當(dāng)?shù)貢r(shí)間18:00（2月28日09:45至3月1日17:00）。在3月3日、4日和7日也觀察到持續(xù)幾小時(shí)的較短中斷。這些明顯的中斷發(fā)生在該國(guó)的政治暴力事件之后。在2月28日、3月3日和3月4日的中斷期間，觀察到該國(guó)網(wǎng)絡(luò)中的公告IPv4地址空間數(shù)量顯著下降，但不清楚為什么3月7日沒(méi)有發(fā)生類似的下降。

停電

-塔吉克斯坦

根據(jù)一份已發(fā)布的報(bào)告，3月1日塔吉克斯坦發(fā)生了一次長(zhǎng)達(dá)數(shù)小時(shí)的廣泛停電，可能與全國(guó)氣溫接近冰點(diǎn)時(shí)電熱器的增加使用有關(guān)。停電從當(dāng)?shù)貢r(shí)間11:00（06:00 UTC）開(kāi)始，持續(xù)了大約三個(gè)小時(shí)。下圖可以看到此次停電對(duì)國(guó)內(nèi)互聯(lián)網(wǎng)流量的影響。盡管電力在當(dāng)?shù)貢r(shí)間14:00（09:00 UTC）左右恢復(fù)，互聯(lián)網(wǎng)流量直到第二天當(dāng)?shù)貢r(shí)間05:00（3月2日午夜UTC）才恢復(fù)到預(yù)期水平。

盡管停電最常對(duì)互聯(lián)網(wǎng)流量產(chǎn)生最大影響，因?yàn)橛?jì)算機(jī)和家庭/辦公室路由器會(huì)關(guān)閉，這次停電似乎也影響了國(guó)內(nèi)的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，停電期間，全國(guó)各地的公告IPv4地址空間總量略有下降。

-坦桑尼亞

3月4日坦桑尼亞電力公司（TANESCO）在社交媒體上發(fā)布關(guān)于停電的通知稱（譯文）

“坦桑尼亞電力公司（TANESCO）已通知公眾，國(guó)家電網(wǎng)系統(tǒng)出現(xiàn)錯(cuò)誤導(dǎo)致國(guó)內(nèi)包括桑給巴爾在內(nèi)的部分地區(qū)停電。我們的專家正在繼續(xù)努力確保電力服務(wù)恢復(fù)正常狀態(tài)。本公司就由此造成的任何不便表示歉意?！?/p>

停電導(dǎo)致坦桑尼亞互聯(lián)網(wǎng)連接中斷，當(dāng)?shù)貢r(shí)間13:30至23:0（10:30-20:00 UTC）流量明顯下降。

技術(shù)問(wèn)題

-Orange Espa?a

網(wǎng)絡(luò)路由是在一個(gè)或更多網(wǎng)絡(luò)中選擇一條路徑的過(guò)程，在互聯(lián)網(wǎng)上，路由依賴于邊界網(wǎng)關(guān)協(xié)議（BGP）。歷史上，BGP路由信息的交換基于提供商之間的信任，但隨著時(shí)間的推移，為了防止不良行為者濫用系統(tǒng)，人們開(kāi)發(fā)了各種安全機(jī)制，例如資源公鑰基礎(chǔ)設(shè)施（RPKI）。RPKI是一種加密方法，用于簽署記錄，將BGP路由公告與正確的來(lái)源AS編號(hào)關(guān)聯(lián)起來(lái)。路由起源授權(quán)（ROA）記錄提供了一種驗(yàn)證方法，以確保IP地址塊持有者已授權(quán)一個(gè)AS（自治系統(tǒng)）對(duì)該地址塊中的一個(gè)或多個(gè)前綴發(fā)起路由。Cloudflare多年來(lái)發(fā)布了多篇博客文章，討論RPKI的重要性及我們提供的支持。當(dāng)正確實(shí)施和配置時(shí)，RPKI和ROA幫助支持路由安全，有效預(yù)防例如BGP劫持等行為。

RIPE NCC（“RIPE”）是五個(gè)區(qū)域性互聯(lián)網(wǎng)注冊(cè)機(jī)構(gòu)（RIR）之一，負(fù)責(zé)互聯(lián)網(wǎng)資源的分配、注冊(cè)和協(xié)調(diào)活動(dòng)。RIPE的服務(wù)區(qū)域包括歐洲、中東和中亞。1月3日，一名惡意行為者利用了RIPE和AS12479（Orange Espa?a）松懈的賬戶安全性，用在公共互聯(lián)網(wǎng)上找到的憑據(jù)登錄到Orange Espa?a的RIPE賬戶?？刂瀑~戶后，攻擊者發(fā)布了多個(gè)帶有“偽造”起源的ROA，使得由AS12479發(fā)起的數(shù)千條路由變成了“RPKI-無(wú)效”，這導(dǎo)致拒絕RPKI-無(wú)效路由的運(yùn)營(yíng)商停止傳輸大量Orange Espa?a的IP空間。

由于Cloudflare執(zhí)行RPKI驗(yàn)證，我們也拒絕了RPKI-無(wú)效路由。我們本會(huì)嘗試通過(guò)我們前往一些傳輸提供商的默認(rèn)路由來(lái)連接Orange Espa?a，但因?yàn)檫@些提供商也進(jìn)行RPKI驗(yàn)證，流量也會(huì)在這些提供商的網(wǎng)絡(luò)中被丟棄。因此，從Cloudflare的角度看，這次事件導(dǎo)致在當(dāng)?shù)貢r(shí)間16:45至19:45（14:45至17:45 UTC）來(lái)自O(shè)range Espa?a的流量下降，以及來(lái)自AS12479的公告IPv4空間顯著減少。

Orange Espa?a在社交媒體上證實(shí)其RIPE帳戶遭到不當(dāng)訪問(wèn)，且由于這一事件，RIPE已強(qiáng)制要求使用雙因素身份驗(yàn)證（2FA）登錄。關(guān)于這一事件的更多見(jiàn)解，Kentik的Doug Madory和bgp.tools的Ben Cartwright-Cox均發(fā)布詳細(xì)的分析和時(shí)間線。

-MaxNet（烏克蘭）

1月11日，烏克蘭AS34700（MaxNet）的用戶經(jīng)歷了一次持續(xù)九小時(shí)的互聯(lián)網(wǎng)中斷。最初流量下降發(fā)生在當(dāng)?shù)貢r(shí)間16:00（14:00 UTC），并在1月12日當(dāng)?shù)貢r(shí)間01:00（1月11日23:00 UTC）恢復(fù)。該提供商最初的社交媒體帖子解釋了中斷的原因，并指出（譯文）“尊敬的用戶：由于公用設(shè)施故障導(dǎo)致樞紐站點(diǎn)之一被淹，本城的某些地區(qū)可能部分或完全沒(méi)有服務(wù)。我們正在盡最大努力恢復(fù)服務(wù)，但這需要時(shí)間。關(guān)于開(kāi)放時(shí)間的進(jìn)一步信息將在應(yīng)急工作完成后盡快發(fā)布?！焙罄m(xù)的一個(gè)帖子通知用戶互聯(lián)網(wǎng)連接已經(jīng)恢復(fù)。水淹顯然也影響了核心路由基礎(chǔ)設(shè)施，因?yàn)镸axNet公告的IPv4地址空間也在當(dāng)?shù)貢r(shí)間16:00和22:00（14:00-20:00 UTC）下降至零。

-Plusnet（英國(guó)）

1月15日，在英國(guó)AS6871（Plusnet）觀察到的一次流量中斷，最初被該提供商在社交媒體上回復(fù)客戶投訴時(shí)定性為“大規(guī)模中斷”。然而，造成中斷的根本原因遠(yuǎn)遠(yuǎn)沒(méi)有那么夸張——它顯然與其DNS服務(wù)器的問(wèn)題有關(guān)。由于用戶無(wú)法使用Plusnet默認(rèn)的DNS解析器成功解析主機(jī)名，這最終導(dǎo)致了該網(wǎng)絡(luò)的流量在當(dāng)?shù)貢r(shí)間（同UTC時(shí)間）16:00至18:00之間大約兩小時(shí)內(nèi)出現(xiàn)下降。對(duì)于系統(tǒng)配置為使用第三方DNS解析器（例如Cloudflare的1.1.1.1服務(wù)）的用戶而言，則沒(méi)有體驗(yàn)到服務(wù)中斷。

-俄羅斯

今年1月，DNS問(wèn)題也影響了俄羅斯的用戶，但不同于英國(guó)Plusnet所體現(xiàn)的方式。1月30日?qǐng)?bào)告的DNSSEC故障導(dǎo)致.ru域名在幾個(gè)小時(shí)內(nèi)無(wú)法訪問(wèn)。（DNSSEC通過(guò)向現(xiàn)有DNS記錄添加加密簽名來(lái)創(chuàng)建一個(gè)安全的域名系統(tǒng)。通過(guò)檢查其相關(guān)簽名，您可以驗(yàn)證請(qǐng)求的DNS記錄是否來(lái)自其權(quán)威名稱服務(wù)器，并且在傳輸過(guò)程中未被篡改，而非中間人攻擊中注入的偽造記錄。）

上述DNSSEC驗(yàn)證失敗導(dǎo)致針對(duì).ru國(guó)家代碼頂級(jí)域（ccTLD）中的主機(jī)名在Cloudflare的1.1.1.1解析器進(jìn)行DNS查找的響應(yīng)為SERVFAIL。在峰值時(shí)，68.4%的請(qǐng)求收到了SERVFAIL響應(yīng)。.ru ccTLD協(xié)調(diào)中心確認(rèn)其正在解決“影響與全球DNSSEC基礎(chǔ)設(shè)施相關(guān)的.ru區(qū)域的技術(shù)問(wèn)題”，但沒(méi)有就問(wèn)題的根本原因提供任何其他細(xì)節(jié)，例如DNSSEC密鑰滾動(dòng)更新的問(wèn)題。2019年8月16日，.ru ccTLD也經(jīng)歷了一次類似的DNSSEC相關(guān)中斷，持續(xù)數(shù)小時(shí)。

-AT&T（美國(guó)）

2月22日凌晨04:00東部時(shí)間/03:00中部時(shí)間（09:00 UTC），AT&T在美國(guó)多個(gè)城市的用戶經(jīng)歷了一次移動(dòng)服務(wù)中斷。受影響的城市包括亞特蘭大、休斯頓和芝加哥，連接中斷時(shí)間約為8小時(shí)。Cloudflare的數(shù)據(jù)顯示，隨著問(wèn)題的開(kāi)始,與前幾周相比，AT&T（AS7018）流量在芝加哥下降多達(dá)45%，在達(dá)拉斯下降多達(dá)18%。

AT&T發(fā)布的“網(wǎng)絡(luò)更新”稱

“根據(jù)我們的初步審查，我們認(rèn)為今天的中斷是由于我們?cè)跀U(kuò)展網(wǎng)絡(luò)時(shí)應(yīng)用和執(zhí)行了一個(gè)錯(cuò)誤的進(jìn)程造成的，而非網(wǎng)絡(luò)攻擊。”

維護(hù)

-Vodafone Egypt

3月5日當(dāng)?shù)貢r(shí)間05:15至11:30（03:15-09:30 UTC），AS36935（Vodafone Egypt）的客戶經(jīng)歷了移動(dòng)互聯(lián)網(wǎng)連接中斷，來(lái)自該網(wǎng)絡(luò)的流量下降比預(yù)期水平低多達(dá)70%。該提供商發(fā)布的社交媒體帖子稱（譯文）“由于今天上午進(jìn)行的更新，一些地區(qū)的4G服務(wù)運(yùn)行受到影響，我們表示歉意?！庇捎?G網(wǎng)絡(luò)故障，Vodafone需要向受影響的客戶提供賠償，并被埃及國(guó)家電信監(jiān)管局（NTRA）處予罰款。

-Ocean Wave Communication（緬甸）

3月12日當(dāng)?shù)貢r(shí)間中午前（05:15 UTC），緬甸消費(fèi)者光纖和商業(yè)互聯(lián)網(wǎng)服務(wù)提供商AS136442（Ocean Wave）上觀察到的流量顯著下降。該提供商在社交媒體上發(fā)布的帖子（譯文）稱“Ocean Wave客戶請(qǐng)注意，由于網(wǎng)絡(luò)維護(hù)，將沒(méi)有互聯(lián)網(wǎng)連接/連接緩慢?！边B接中斷持續(xù)了大約7個(gè)小時(shí)，流量在當(dāng)?shù)貢r(shí)間19:00前（12:15 UTC）恢復(fù)到正常水平。

總結(jié)

今年第一季度發(fā)生了兩起值得注意的海底電纜損壞，再次凸顯了保護(hù)海底電纜的重要性，以及它們穿越或靠近地緣政治敏感區(qū)域的相關(guān)風(fēng)險(xiǎn)。鑒于對(duì)海底電纜傳輸互聯(lián)網(wǎng)流量的依賴，這將在未來(lái)多年繼續(xù)成為一個(gè)問(wèn)題。

Orange Espa?a事件還表明了通過(guò)多因素身份驗(yàn)證保護(hù)對(duì)重要運(yùn)營(yíng)資源的重要性。Cloudflare過(guò)去曾撰寫過(guò)有關(guān)此主題的文章。像RIPE這樣的組織在互聯(lián)網(wǎng)的運(yùn)作中扮演著至關(guān)重要的幕后角色，因而要求他們采取所有切實(shí)的預(yù)防措施來(lái)保護(hù)他們的系統(tǒng)，以防止惡意行為者采取可能廣泛中斷互聯(lián)網(wǎng)連接的行動(dòng)。