ثبت لوکیشن
طراحی لوگو حرفه ای
تیم تحریریه استاد آی تی گزارش می دهد: حادثه نشت مسیر BGP کلودفلر (Focus Keyword) در تاریخ ۲۲ ژانویه ۲۰۲۶، بار دیگر اهمیت امنیت زیرساخت های اینترنت و آسیب پذیری های پروتکل های حیاتی مانند Border Gateway Protocol را برجسته ساخت. این رخداد که به مدت ۲۵ دقیقه به طول انجامید، اگرچه کوتاه بود، اما توانست ترافیک بخش هایی از اینترنت را به صورت ناخواسته از طریق مرکز داده میامی کلودفلر هدایت کند و اختلالاتی را برای مشتریان و شبکه های خارجی به وجود آورد. این حادثه یک نمونه کلاسیک از چالش های مدیریت شبکه های بزرگ و پیچیده است که حتی غول های فناوری مانند کلودفلر را نیز درگیر می کند.
نشت مسیر BGP چیست و چگونه رخ داد؟
نشت مسیر BGP (Route Leak) زمانی اتفاق می افتد که یک سیستم خودگردان (Autonomous System یا AS) مسیرهایی را به شبکه جهانی اینترنت اعلام می کند که نباید آنها را منتشر کند. به بیان ساده تر، این سیستم به سایر شبکه ها می گوید که ترافیک مربوط به یک مقصد خاص را به جای مسیر اصلی، از طریق شبکه او ارسال کنند، در حالی که این شبکه قصد یا توانایی انتقال آن ترافیک را ندارد. این پدیده به طور معمول منجر به ازدحام شبکه، افزایش تاخیر (Latency) و در نهایت از دست رفتن بسته های داده (Packet Loss) می شود.
خطای پیکربندی و پروتکل IPv6
علت اصلی این حادثه، یک خطای پیکربندی خودکار در سیاست های مسیریابی (Routing Policy) مربوط به ترافیک IPv6 در یکی از روترهای لبه ای (Edge Router) کلودفلر در میامی، فلوریدا بود. این تغییر قرار بود پیشوندهای مسیریابی (Prefixes) مربوط به مرکز داده بوگوتا در کلمبیا را از اعلام عمومی حذف کند، اما به دلیل یک نقص در منطق سیاست، روتر به اشتباه تمامی پیشوندهای داخلی (Internal BGP یا IBGP) را به عنوان مسیرهای قابل قبول برای اعلام خارجی به همسایگان (Peers) و تامین کنندگان (Providers) خود در شبکه BGP منتشر کرد.
این خطای فنی، که به دلیل تفسیر بیش از حد مجاز عبارت “route-type internal” در سیستم عامل JunOS رخ داد، باعث شد تا ترافیک زیادی به سمت میامی سرازیر شود.
پیامدهای ۲۵ دقیقه ای نشت مسیر
این نشت مسیر که در ساعت ۲۰:۲۵ UTC آغاز و در ساعت ۲۰:۵۰ UTC با بازگرداندن دستی پیکربندی متوقف شد، تنها ۲۵ دقیقه به طول انجامید. با این حال، در همین مدت کوتاه، پیامدهای قابل توجهی به همراه داشت. ازدحام شدید در زیرساخت ستون فقرات (Backbone) کلودفلر بین میامی و آتلانتا، افزایش نرخ از دست رفتن بسته ها برای برخی از مشتریان کلودفلر و همچنین افزایش تاخیر در لینک های تحت تاثیر، از جمله این پیامدها بودند.
نکته مهم این است که فیلترهای فایروال کلودفلر در میامی، حدود ۱۲ گیگابیت بر ثانیه (12Gbps) از ترافیک ورودی ناخواسته را که برای سرویس های کلودفلر نبود، مسدود و دور ریختند. این حجم از ترافیک نشان دهنده مقیاس و گستردگی تاثیر این نشت مسیر بر شبکه جهانی بود.
تحلیل فنی و راهکارهای امنیت مسیریابی اینترنت
حادثه نشت مسیر BGP کلودفلر (Focus Keyword) یک یادآوری جدی برای جامعه فناوری است که نشان می دهد حتی با وجود سیستم های خودکار پیشرفته، خطای انسانی و نقص در منطق پیکربندی می تواند منجر به اختلالات گسترده شود. این رخداد، که ترکیبی از نشت مسیر نوع ۳ و نوع ۴ بر اساس تعریف RFC7908 بود، ضرورت اجرای استانداردهای سختگیرانه تر برای امنیت مسیریابی را بیش از پیش آشکار می سازد.
کارشناسان استاد آیتی معتقدند که تکرار این نوع حوادث، حتی در مقیاس کوچک، نشان دهنده نیاز مبرم به پذیرش گسترده تر ابزارهای امنیت مسیریابی مانند RPKI و استانداردهای جدیدتر است. کلودفلر خود نیز اذعان داشته که این حادثه شباهت زیادی به قطعی سال ۲۰۲۰ آنها داشته و این امر لزوم بازنگری عمیق در فرآیندهای خودکارسازی سیاست های شبکه را نشان می دهد.
نقش RPKI و RFC9234 در پیشگیری
کلودفلر در گزارش خود به دو راهکار کلیدی برای جلوگیری از نشت مسیر BGP (Focus Keyword) در آینده اشاره کرده است:
- پیاده سازی RFC9234 (BGP Roles and the Only-to-Customer Attribute): این استاندارد جدید، تنها راه مستقل از سیاست های مسیریابی برای جلوگیری از نشت مسیرهایی است که در سطح سیستم خودگردان محلی (AS) ایجاد می شوند. با تعیین نقش های مشخص (مشتری، همتا، تامین کننده) برای اتصالات BGP، روترها می توانند به صورت خودکار مسیرهایی را که به اشتباه از یک همتا یا تامین کننده دریافت شده و به دیگری اعلام می شوند، رد کنند.
- ترویج RPKI ASPA (Autonomous System Provider Authorization): زیرساخت کلید عمومی منابع (RPKI) به شبکه ها اجازه می دهد تا گواهی هایی را برای تایید مالکیت پیشوندهای IP صادر کنند. ASPA یک گام فراتر است و به شبکه ها اجازه می دهد تا به صورت خودکار مسیرهایی را که حاوی مسیرهای AS غیرعادی هستند، رد کنند. این امر به طور موثر از نشت مسیرهای نوع ۳ و ۴ جلوگیری می کند.
این راهکارها در واقع، امنیت مسیریابی اینترنت یک مسئولیت مشترک است و پذیرش این استانداردها توسط تمامی بازیگران اصلی شبکه، از جمله شرکت هایی که خدمات طراحی وب سایت ارائه می دهند، می تواند پایداری اینترنت را تضمین کند.
جدول زمانی حادثه و اقدامات اصلاحی کلودفلر
کلودفلر یک جدول زمانی دقیق از این حادثه ارائه داده است که نشان دهنده سرعت عمل تیم شبکه در شناسایی و رفع مشکل است:
| زمان (UTC) | رویداد |
|---|---|
| ۲۰۲۶-۰۱-۲۲ ۱۹:۵۲ | ادغام تغییر در مخزن کد خودکارسازی شبکه که در نهایت باعث ایجاد باگ سیاست مسیریابی شد. |
| ۲۰۲۶-۰۱-۲۲ ۲۰:۲۵ | اجرای خودکارسازی بر روی روتر لبه ای میامی و شروع اعلامیه های ناخواسته BGP. (شروع اختلال) |
| ۲۰۲۶-۰۱-۲۲ ۲۰:۴۰ | تیم شبکه تحقیقات در مورد اعلامیه های مسیر ناخواسته را آغاز می کند. |
| ۲۰۲۶-۰۱-۲۲ ۲۰:۴۴ | اعلام وضعیت اضطراری برای هماهنگی پاسخ. |
| ۲۰۲۶-۰۱-۲۲ ۲۰:۵۰ | بازگرداندن دستی پیکربندی اشتباه توسط اپراتور شبکه و توقف خودکارسازی. (پایان اختلال) |
| ۲۰۲۶-۰۱-۲۲ ۲۱:۴۷ | بازگرداندن تغییر کد که باعث نشت مسیر شده بود، از مخزن کد. |
اقدامات اصلاحی کوتاه مدت کلودفلر:
- اعمال وصله بر روی نقص در خودکارسازی سیاست مسیریابی.
- پیاده سازی محافظ های اضافی مبتنی بر BGP Community برای رد صریح مسیرهایی که از همتایان و تامین کنندگان دریافت شده اند.
- افزودن ارزیابی خودکار سیاست مسیریابی به خطوط لوله CI/CD برای شناسایی شرایط خالی یا اشتباه در سیاست ها.
- بهبود سیستم های تشخیص زودهنگام برای شناسایی اثرات منفی تغییرات خودکار.
جمع بندی و اهمیت امنیت شبکه برای کسب و کارها
حادثه نشت مسیر BGP کلودفلر (Focus Keyword) در ژانویه ۲۰۲۶، یک درس مهم در مورد پیچیدگی های مدیریت زیرساخت های اینترنت و اهمیت پروتکل های مسیریابی مانند BGP است. این پروتکل، که ستون فقرات اینترنت مدرن را تشکیل می دهد، نیازمند نظارت و امنیت دائمی است.
کلودفلر با شفافیت کامل در مورد این حادثه، تعهد خود را به بهبود امنیت مسیریابی جهانی نشان داد. این شفافیت، که شامل ارائه جزئیات فنی و اقدامات اصلاحی است، الگویی برای سایر شرکت های بزرگ فناوری محسوب می شود. در نهایت، پایداری و امنیت زیرساخت های اینترنت، به طور مستقیم بر عملکرد کسب و کارهای آنلاین و تجربه کاربران در سراسر جهان تاثیر می گذارد.
منابع:
Cloudflare Blog. Route leak incident on January 22, 2026
