文章总结： Cloudflare披露了近期一次持续25分钟的BGP路由泄露细节，起因是配置错误导致IPv6路由违规分发，引发网络拥塞与丢包。该事件违反了无谷路由策略。Cloudflare已手动回滚修复，并计划通过加强出口保障、CI/CD检查及推进RPKIASPA等措施防止复发。 综合评分： 93 文章分类： 网络安全,安全运营,漏洞预警

Cloudflare 分享边界网关协议 (BGP) 路由泄露的细节

原创

ZM ZM

暗镜

2026年1月27日 08:38 北京

Cloudflare 分享了更多关于最近一次持续 25 分钟的边界网关协议 (BGP) 路由泄露的细节，该泄露影响了 IPv6 流量，导致明显的拥塞、丢包和大约 12 Gbps 的流量丢失。

BGP 系统帮助在称为自治系统 (AS) 的不同网络之间路由数据，这些自治系统通过互联网上的较小网络将数据发送到目的地。

该事件是由路由器上意外的策略配置错误引起的，并影响了 Cloudflare 客户以外的外部网络。

Cloudflare 的公告称：“在 1 月 22 日的事件中，我们造成了类似的路由泄露，我们从一些同行那里获取了路由，并将它们重新分发到迈阿密的一些同行和提供商。”

“根据 RFC7908 中的路由泄漏定义，我们在互联网上造成了 3 型和 4 型路由泄漏的混合情况。”

当自治系统 (AS)违反无谷路由策略，错误地将从一个对等体或提供商学习到的路由通告给另一个对等体或提供商时，就会发生 BGP 路由泄漏。

因此，流量会被发送到原本不打算承载它的网络中。这通常会导致网络拥塞、丢包或使用次优路径。当使用防火墙过滤器仅允许来自特定提供商的流量通过时，这些流量会被完全丢弃。

无谷规则描述了路由应该如何根据网络之间的业务关系进行传播，当这些规则被违反时，流量会被吸引到无法通过更长或不稳定的路径承载它的网络，并且像本例中一样，流量会被完全丢弃。

虽然此类事件主要导致可靠性问题，但它们也存在安全隐患，因为它们可能导致未经授权的各方在BGP 劫持事件中拦截和分析流量。

Cloudflare 解释说，BGP 路由泄露的根本原因是策略变更，旨在阻止迈阿密发布波哥大的 IPv6 前缀。

删除特定前缀列表使得导出策略过于宽松，允许路由类型内部匹配接受所有内部（iBGP）IPv6 路由并将其导出到外部。

“因此，Cloudflare 在骨干网内部重新分发的所有 IPv6 前缀都符合此策略，并通告给了我们在迈阿密的所有 BGP 邻居，”Cloudflare 解释道。

Cloudflare在问题出现后不久便检测到了它，其工程师手动撤销了配置并暂停了自动化流程，在25分钟内阻止了问题的影响。随后，触发问题的代码更改也被撤销，自动化流程也安全地重新启用。

这家互联网巨头表示，这起最新事件与2020 年 7 月发生的一起事件非常相似 ，并列出了防止此类事件再次发生的措施。

拟议措施包括增加更严格的基于社区的出口保障措施、对策略错误进行 CI/CD 检查、改进早期检测、验证 RFC 9234 以及促进 RPKI ASPA 的采用。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《Cloudflare 分享边界网关协议 (BGP) 路由泄露的细节》