Cloudflare: сбой DNS 1.1.1.1 не связан с атакой или BGP-хайджеком

Компания Cloudflare заявила, что недавний сбой в работе публичного DNS-резолвера 1.1.1.1 не был вызван кибератакой или захватом маршрутов BGP, как предполагали некоторые пользователи. В опубликованном разборе инцидента компания пояснила, что причиной стала внутренняя ошибка конфигурации.

Сбой произошел в понедельник, 14 июля 2025 года, и затронул большинство пользователей по всему миру — во многих случаях интернет-сервисы стали недоступны.

В заявлении Cloudflare говорится:

Первопричиной стала внутренняя ошибка конфигурации, а не атака или BGP-хайджек.

Это заявление последовало за слухами в соцсетях о якобы имевшем место захвате маршрутов BGP.

Причина сбоя

Публичный DNS-резолвер Cloudflare 1.1.1.1 был запущен в 2018 году и предлагал пользователям по всему миру быстрый и приватный доступ к интернету.

Cloudflare объяснила, что все началось с изменения конфигурации 6 июня в рамках подготовки к запуску функции Data Localization Suite (DLS). В результате IP-префиксы резолвера 1.1.1.1 были ошибочно привязаны к непроизводственной среде DLS.

14 июля в 21:48 UTC обновление добавило тестовую локацию в этот неактивный DLS-сервис, что вызвало глобальное обновление конфигурации и применило ошибку. В результате трафик 1.1.1.1 начал перенаправляться в офлайн-среду, а не в рабочие дата-центры Cloudflare — сервис стал недоступен по всему миру.

Спустя менее чем четыре минуты после начала сбоя DNS-трафик к резолверу 1.1.1.1 начал снижаться. К 22:01 по UTC Cloudflare обнаружила инцидент и публично сообщила о нем.

В 22:20 по UTC неправильная конфигурация была отменена, и компания начала повторно анонсировать отозванные BGP-префиксы. Полное восстановление работы сервиса во всех локациях завершилось в 22:54 по UTC.

Инцидент затронул несколько IP-диапазонов, включая:

• 1.1.1.1 — основной публичный DNS-резолвер,
• 1.0.0.1 — вторичный публичный DNS-резолвер,
• 2606:4700:4700::1111 и 2606:4700:4700::1001 — основной и вторичный IPv6 DNS-резолверы,
• а также несколько других IP-диапазонов, обеспечивающих маршрутизацию внутри инфраструктуры Cloudflare.

Что касается влияния инцидента на сетевые протоколы, объем запросов по UDP, TCP и DNS-over-TLS (DoT) к указанным адресам значительно снизился. Однако трафик по протоколу DNS-over-HTTPS (DoH) практически не пострадал, так как использует отдельный маршрут через домен cloudflare-dns.com.

Реакция Cloudflare

Cloudflare признает, что ошибочную конфигурацию можно было бы отклонить, если бы использовалась система с поэтапным развертыванием. Причиной сбоя стали устаревшие инструменты, от которых компания теперь намерена отказаться.

В связи с этим Cloudflare планирует ускорить переход на новые системы конфигурации, использующие абстрактные топологии сервисов вместо жестко привязанных IP-адресов. Это обеспечит постепенное развертывание, мониторинг работоспособности на каждом этапе и быстрый откат изменений в случае проблем.

Компания также отметила, что ошибка прошла внутреннюю проверку (peer review), но не была обнаружена из-за недостаточной документации по топологиям сервисов и правилам маршрутизации — эту область Cloudflare также намерена улучшить.