- Afrinic 的一个权威名称服务器出现技术故障,导致 DNSSEC 签名过期,从而干扰了 26 个非洲顶级域名,包括马达加斯加的.mg。虽然问题始于 2024 年 10 月 29 日,但直到 11 月 8 日才被首次报告。
- RIPE Atlas 探测显示,只有一个标识为 s01-ns2.pkl 的任播服务器实例提供了过时的数据。Afrinic 将该服务器下线以解决问题,这凸显了监测任播系统所面临的挑战。
发生了什么
2024 年 10 月底,一个重大技术问题干扰了 26 个非洲顶级域名(TLD)。由 Afrinic 管理的其中一个权威名称服务器提供了过时的数据,其 DNSSEC(域名系统安全扩展)签名被标记为过期。尽管问题源自 10 月 29 日,但直到 11 月 8 日才被首次发现,导致.mg(马达加斯加)TLD 的用户遇到不一致的 DNS 解析体验。
另请阅读:最高法院关于 AFRINIC 的裁决:新成员无权利,选举将在 2025 年 6 月前举行
另请阅读:在 WRS-24 上探索全球频谱管理
更深入的分析显示,并非所有服务器都受到影响。实际上,只有任播名称服务器 ns-mg.afrinic.net 的一个特定实例运行着过时的数据。来自 RIPE Atlas 探测器的测量结果显示了一个明显的差异:虽然大多数服务器报告了最新数据,但少数服务器仍依赖于陈旧信息。这个被标识为 NSID s01-ns2.pkl 的服务器实例导致了在多个 TLD 中传播更新的延迟。
Afrinic 最终通过将有问题的实例下线解决了该问题。然而,此问题引发了对分布式系统(尤其是对互联网基础设施至关重要的系统)的监测和故障排除的质疑。
为何此问题重要
此事件突显了互联网基础设施中的一个关键漏洞:服务器看似正常运行,却可能提供过时或不正确的数据。对于使用 DNSSEC 的域名而言,过期的签名会使用户面临潜在风险,例如无法解析有效查询或遇到无效的数据响应。
受影响的服务器不仅托管了.mg,还托管了其他 25 个非洲 TLD,扩大了问题的规模。尽管 Afrinic 的迅速行动减轻了进一步的损害,但该案例凸显了对既能确保正常运行又保证数据准确性的强大监测系统的需求。
此外,这种情况展示了任播(anycast)所面临的挑战——这是一种通过将请求路由到地理分布式实例来增强 DNS 弹性的广泛使用的技术。虽然任播增强了 DNS 的鲁棒性,但也使问题检测和调试变得复杂,正如本案所显现的那样。像 RIPE Atlas 这样的工具在识别此类异常方面证明是非常宝贵的,但正如本案例所示,对数据新鲜度进行主动检查对于确保 DNS 的无缝运行仍然至关重要。

