DNSSEC 問題使斐濟網域離線

Cloudflare觀測到其客戶於3月8日凌晨存取.com.fj 屬性型域名的HTTP流量幾乎下降了大約40%,流量下降的情形持續到中午。

在那段時間,有些用戶成功存取了.fj主機,但卻有些用戶無法存取。斐濟新聞網站報導了此斷線問題,並指出影響包括沃達豐(Vodafone)的M-PAiSA應用程式(可經由手機進行匯款、轉帳、付款的行動支付服務),使得用戶無法進行金融交易。

Cloudflare從提供的1.1.1.1域名解析服務的資料也觀察到在凌晨過後,查詢.com.fj域名收到回應錯誤的流量開始顯著上升。這意味著1.1.1.1的服務在處理.fj域名伺服器的回應時遇到了問題。

從以上描述可知,該問題與網域名稱系統(DNS)相關,而不是單純網路連線的問題,Hacker News評論中有人提出該問題可能與網域名稱系統安全擴充程式(DNSSEC)相關。經進一步調查,驗證了問題出現在 .fj 國家及地區頂級域名(country code top-level domain,ccTLD)的 DNSSEC 記錄有誤。

Cloudflare學習中心的文章解釋了DNSKEY和DS記錄兩者間的關係:「DS(Delegation Signer)記錄用於驗證DNSSEC子區域(child zone)的真實性。父區域(parent zone)上的DS私鑰紀錄包含其子區域簽署金鑰(Key Signing Key,KSK)的雜湊。因此,DNSSEC解析器可以透過KSK的雜湊紀錄來驗證子區域的真實性,並與父區域的DS記錄進行比較。」

最終調查結果為在3月8日清晨前後,斐濟網際網路頂級域.fj的數位簽章沒有使用位在根域(root zone)的DS紀錄密鑰,可能是因為.fj的管理機構未先檢查網際網路號碼分配機構(Internet Assigned Numbers Authority, IANA)是否有在最新的根域檔案內新增DS紀錄密鑰的狀況下,便使用此組密鑰簽署所導致的。(IANA可與頂級網域名稱(Top-level Domain, TLD)的營運商聯繫,並指示其更新或變更根域檔案的版本。)

DNSSEC作為問題的根本原因,與Hacker News上的評論一致,若解析器採用嚴格驗證DNSSEC模式的用戶會收到錯誤,相反的,採用較不嚴格驗證的用戶就能存取網站。這樣的結果導致有些人能夠存取 .fj 網站,其餘的人則不能。

結論

Cloudflare進一步分析顯示,在當天下午兩點左右DS進行了更新並解決了此問題。當DNSSEC網域名稱的設定檔出現錯誤時,可能會導致該區域中的網站或應用程式存取出現問題。但當錯誤發生在國碼頂級域名級別時,其影響更為顯著。不幸的是,這種情況似乎經常發生

​​相關連結:

David Belson(2022). DNSSEC issues take Fiji domains offline. The Cloudflare Blog.

檢自:

https://blog.cloudflare.com/dnssec-issues-fiji/ (Mar. 19, 2022)

回到頂端