g.root-servers.net 发生了什么？

Question

我刚刚发现192.112.36.4( g.root-servers.net.) 既不响应请求，也不响应 ping。

.                        3600000      NS    G.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET.      3600000      A     192.112.36.4

我检查了http://www.internic.net/domain/named.root，这是根服务器的更新列表，IP 地址是正确的。我一直认为这些根服务器是多余的，以至于不可能有停机时间。根据http://root-servers.org 的说法，全球有六个服务器所在的位置，所以我认为我的假设是正确的。

我的问题是是否g.root-servers.net.与所有其他人有任何不同或特殊之处，
以及是否因任何原因我不应该从它获得 DNS 响应？

Answer 1

我一直认为这些根服务器是多余的，以至于不可能有停机时间。根据http://root-servers.org 的说法，全球有六个服务器所在的位置，所以我认为我的假设是正确的。

即使没有 G 的无证中断，这是一个错误的假设：

• Anycast IP 地址可能代表多个物理站点，但一个区域的滥用事件级联到其他区域的故障是不可取的。如果一个站点出现故障，该流量不会转移到另一个站点。
• 存在针对根服务器的滥用的共享网络链接可能会在更靠近根服务器的基础设施之前阻塞。

最后，我们有人为因素。G全线下跌，但目前还没有官方透露原因。这种类型的普遍失败通常指向中央政府的蓄意行动或灾难性失败。

由于 Serverfault 的用户不代表根服务器的管理员，所以最好的办法是关注官方声明。与此同时，上面的链接足以证明 G 完全中断了。互联网继续运行，因为一个根中断在更大的情况下不会产生重大影响。

来自国防部网卡的更新：

Regarding yesterday's G-root outage:

Like many outages, this one resulted from a series of unfortunate events.
These unfortunate events were operational errors;  steps have been taken to
prevent any reoccurrence, and to provide better service in the future.

https://lists.dns-oarc.net/pipermail/dns-operations/2016-April/014765.html

Answer 2

昨天下午我和 Ripe 的一个人开会，在她向我展示问题后，我的第一印象是根服务器在防火墙中配置错误。

我注意到的事情：

• TCP 响应工作正常。( https://atlas.ripe.net/dnsmon/group/root?dnsmon.session.color_range_pls=0-66-66-99-100&dnsmon.session.exclude-errors=true&dnsmon.type=server-probes&dnsmon.server=192.112 .36.4&dnsmon.zone=root&dnsmon.startTime=1460573400&dnsmon.endTime=1460649600&dnsmon.ipVersion=both&dnsmon.isTcp=true )
• UDP 响应已死。
• 所有成熟的阿特拉斯探测器都报告了同样的问题。该问题并非特定于某一地区。
• BGP 路由到网络就好了。没有问题。

UDP 不起作用而 TCP 起作用的事实表明有人试图阻止超过特定大小或类似大小的 UDP 数据包。

在中断期间，我进行了几次测试，所有 UDP 测试都失败了，不仅是答案大小大于 512 字节的测试。