Cloudflare 表示 1.1.1.1 中断不是由攻击或 BGP 劫持引起的

Cloudflare 自 2018 年起提供的公共 DNS 解析服务 1.1.1.1 ，于 7 月 14 日全球范围内发生故障，导致大多数用户暂时无法访问互联网。
故障原因是 6 月 6 日为即将推出的数据本地化套件（ Data Localization Suite ，简称 DLS ）更改了配置，意外地将 1.1.1.1 解析器的 IP 前缀关联到了尚未启用的 DLS 服务。7 月 14 日 21:48 UTC ，DLS 服务中新增了测试位置，触发了全球配置刷新，错误配置被实际应用，导致服务中断。
Cloudflare 的 1.1.1.1 解析器的 IP 前缀被从生产数据中心撤出，转移到唯一的离线地点，导致全球范围内服务无法访问。
Cloudflare 在 13 分钟内发现问题并开始修复，服务于协调世界时（ UTC ） 22:20 开始恢复，至 22:54 恢复至所有区域的全面服务。
此次事件影响了多个 IP 范围，包括 1.1.1.1 、1.0.0.1 以及 IPv6 DNS 解析器 2606:4700:4700::1111 和 2606:4700:4700::1001 。UDP 、TCP 和 DNS-over-TLS 受影响较大，但 DNS-over-HTTPS 仍正常运行，因为它通过 cloudflare-dns.com 路径传输。
此次事件导致 Cloudflare 的 1.1.1.1 解析服务在全球范围内中断，原因是其 IP 前缀被错误地从生产数据中心移除并转移至唯一的离线位置。Cloudflare 在发现问题后迅速响应，13 分钟内开始修复，服务于协调世界时 22:20 开始逐步恢复，至 22:54 完全恢复。受影响的 IP 范围包括 1.1.1.1 、1.0.0.1 以及 IPv6 地址 2606:4700:4700::1111 和 2606:4700:4700::1001 。
UDP 、TCP 和 DNS-over-TLS 协议受到较大影响，而 DNS-over-HTTPS 由于通过 cloudflare-dns.com 路径传输，未受影响，保持正常运行。

Cloudflare 承认，如果采用逐步推出的系统，本次问题是可以避免的。因此，公司计划淘汰旧系统，加快迁移到使用抽象服务拓扑的新配置系统，取代静态绑定 IP 的方式。同时，Cloudflare 还将完善内部关于服务拓扑和路由行为的文档，以便未来通过同行评审更有效地发现错误

英文报告原版： https://blog.cloudflare.com/cloudflare-1-1-1-1-incident-on-july-14-2025/
英文报告译版： https://www.1ccf.com/archives/1752718698850