2025年11月18日,互联网似乎突然屏住了呼吸。对于普通用户来说,这一刻表现得很烦人:当你试图刷新你最爱的新闻网站、流媒体服务或是购物平台时,屏幕上只留下了一行冰冷的提示:“Internal server error”(内部服务器错误)。但在 Cloudflare 这家掌握着全球大量网络流量命脉的公司的指挥中心里,气氛远比这令人窒息。看着监控仪表盘上疯狂飙升的报错数据,公司联合创始人兼 CEO 马修·普林斯的第一反应是:战争开始了。他在内部聊天室里敲下了一行焦虑的文字:“我担心这是一个超级僵尸网络正在秀肌肉。”普林斯提到的“僵尸网络”,指的是被黑客控制的无数台电脑组成的攻击大军。在那一刻,所有人都以为那个臭名昭著的 Aisuru 僵尸网络终于发动了总攻,这看起来像是一场典型的“分布式拒绝服务攻击”(DDoS)。简单来说,就是成千上万个假冒的访客同时挤向大门,试图把互联网的大门挤垮。然而,当工程师们满头大汗地剥开数据的层层迷雾后,却发现了一个令人哭笑不得的真相:并没有什么黑客大军压境,也没有史诗级的网络战争。打败这套全球最顶尖防御系统的,竟然是它自己内部的一个文件。它因为“吃”得太饱,把自己撑死了。要理解这场乌龙是如何发生的,我们得先聊聊 Cloudflare 是怎么抓坏人的。这家公司的核心业务之一,就是充当互联网的“保安”。为了从海量流量中识别出哪些是正常用户,哪些是搞破坏的机器人(Bot),他们使用了一套基于机器学习的防御系统。这套系统依赖一份非常关键的“特征文件”。你可以把这份文件想象成是保安手中的“嫌疑人特征清单”。系统会根据这份清单,给每一个访问请求打分。如果分值显示你是机器人,你就被拦在门外。为了应对瞬息万变的攻击手段,这份清单每五分钟就会更新一次,以确保最新的坏人特征被收录其中。问题就出在生成这份清单的环节。当天,工程师们对后台的一个数据库系统进行了一次看似常规的权限调整。这本该是一个不起眼的操作,但就像那只扇动翅膀的蝴蝶,它引发了一场风暴。生成特征清单的程序向数据库发出了询问指令。原本,这个指令应该只从默认的数据库里调取数据。但因为权限放宽了,而指令里又没有明确指定“只看默认库”,热心的数据库一口气把所有能找到的相关数据全给了出来,其中就包括了大量的重复项和元数据。结果就是,这份原本精简的“特征清单”,体积瞬间膨胀了一倍。这下麻烦了。前方的防御软件是设定了“食量上限”的。在代码逻辑里,工程师们为了防止系统资源被耗尽,给这个特征文件能够包含的特征数量设了一个上限:200个。这在平时绰绰有余。但那个因为数据库错误而膨胀的“胖文件”,携带的特征数量远远超过了200个。当这个超标的文件被分发到全球各地的服务器上时,负责路由流量的软件彻底懵了。它试图读取文件,发现超出了限制,随即陷入了技术上称为“Panic”(恐慌)的状态,进而崩溃。于是,所有依赖这套系统保护的网站,瞬间瘫痪。更折磨人的是,这次故障并没有表现为“彻底死机”,而是呈现出一种诡异的“时好时坏”状态。原来,那个生成清单的数据库是一个庞大的集群,并不是所有节点都同时完成了更新。在故障期间,系统每五分钟生成一次新清单。这就像是一场俄罗斯轮盘赌:如果运气好,指令跑到了旧节点上,生成的文件就是正常的,网络瞬间恢复;如果运气不好,指令跑到了更新后的节点上,生成的又是那个“致死”的胖文件,网络再次中断。这种时断时续的症状,恰恰是导致 CEO 普林斯一开始误判为攻击的主要原因。因为在真正的网络攻防战中,黑客的攻击往往就是这样一波接一波的。查明真相后,解决办法其实简单得惊人。工程师们紧急叫停了那个自动生成清单的程序,手动塞进去一份旧版本的、体型正常的“特征清单”,并强制重启了核心服务。随着那个臃肿的文件被替换,互联网的血液重新开始流动。虽然因为积压的流量瞬间涌入,又花了两三个小时才让一切完全平稳,但这场危机终究是解除了。事后,马修·普林斯代表团队向全网致歉。他在复盘报告中承认,这是一次“自作自受”的故障。虽然没有黑客的硝烟,这次事故却给互联网上了一堂生动的课:在一个由无数代码和自动化逻辑堆叠起来的精密世界里,有时候,摧毁一切并不需要高精尖的武器,仅仅一个多出来的数据库权限,或者一个没有设防的查询指令,就足以让世界停摆。Cloudflare表示会采取一系列措施来防止类似的故障再次发生。他们打算更严格地验证配置文件、建立更多的应急开关、改进错误处理机制。普林斯说,他们无法保证永远不会再出故障,但每一次故障都让他们的系统变得更加健壮。这话听起来有点无奈,但也有种执着在里面。在互联网这个地方,没有绝对的完美,只有在一次次的失败中不断进化。~~~~~~信源:Jon Brodkin 发在 ArsTechnica 的相关报道
