除了ARIN、RIPE NCC、APNIC、LACNIC、AFRINIC这五个区域互联网注册机构,全球还散落着一批几乎没人留意的RPKI发布服务器,运营者从云厂商、ISP、RPKIaaS公司到纯粹的技术爱好者都有。一份最初由荷兰SIDN Labs实习生撰写、后被APNIC博客转载的研究,把这批服务器摸了一遍底:截至2026年4月23日,它们合计发布了2,467条ROA,覆盖3,778个前缀,涉及1,163个自治系统。数字不大,但暴露的问题不小——超过五成的ROA用了RFC明确劝退的maxLength字段,其中近两成还留有BGP覆盖缺口。

这份研究的价值不在于长尾服务器数量多,而在于它们分布散、运维标准不一,恰好卡在RPKI信任链最容易被忽视的位置。

谁在自建这些迷你RPKI服务器

RIR早就免费提供RPKI托管服务,为什么还有人自己起服务器?研究先解决了一个定义问题:把ROA数量低于1,300条的服务器算作"小型"。这个阈值不是拍脑袋定的,是看了所有已知RPKI服务器的ROA数量分布曲线后找到的——一小撮大玩家(五大RIR加上AWS)占据了绝大多数份额,1,300正好卡在长尾开始的断点上。AWS的RRDP服务器被单独排除,理由是亚马逊的发布架构建得太特殊,混进"小型"长尾里没法比。

研究列出的具体运营者包括IPXO旗下的r.magellan.ipxo.com、cloudie-repo.rpki.app、rpki.admin.freerangecloud.com、krill.47272.net、rpki.cc等。作者联系过其中一家运营者Axivora(运营rpki.cc等三个服务器),对方证实自己最初就是拿RPKI当学习项目练手,后来顺手对外提供服务。归纳下来,自建服务器的动机大致四类:卖RPKIaaS服务、统一管理跨RIR的资源、科研教育练手、纯粹的爱好。

有一处口径需要读者留心:研究正文说"2,467条ROA覆盖3,778个前缀",配套统计表却把3,778标成"分析的ROA对象总数"——两个说法对不上,说明这份数据集自己都没完全说清楚在数什么。

放进全局看,长尾没那么"长"

单看这份研究,长尾服务器像是一个自成一体的小世界。但把它摆进更大范围的独立测量里,画风就变了:五大RIR自己托管的ROA对象合计约28万条,撑起全网九成以上的payload;AWS一家的份额就有2.88%,比这份研究统计的全部长尾服务器加起来还要重。ARIN官方数据显示,近95%的会员干脆用RIR自带的托管服务,压根不折腾自建。

谁真正扛起全球ROA 91% 五大RIR的ROA份额 2.88% AWS一家的份额 2,467 本次长尾研究的ROA总数

拆到具体机构,差距更明显:

五大RIR托管ROA对象数量 ARIN(北美) 185,379 RIPE NCC(欧洲) 51,921 APNIC(亚太) 16,879 LACNIC(拉美) 15,757 AFRINIC(非洲) 10,975
长尾很长,权重很轻,风险却一点不轻。

AFRINIC这一行还有个特殊之处:它结构上根本不支持"delegated"(资源持有者自建CA与发布点)这种模式,APNIC、ARIN、RIPE NCC则给委托CA提供了"publish-in-parent"的折中方案(自建CA、但仍借用RIR的发布点)。也就是说,长尾自建服务器这个现象,天然只可能出现在另外四个RIR辖区——非洲的地址空间持有者想自己起服务器,选项都没有。

单点故障和maxLength,才是长尾真正的软肋

比"谁在运营"更值得盯的是运维质量。另一项针对RPKI仓库的测量发现,60个独立发布点里有57个只挂在单一自治系统下,只有10个接了CDN(8个Cloudflare、1个Amazon、1个Akamai)。这意味着大多数小服务器没有任何网络层冗余——上游一条链路断了,对应前缀的ROA就在全网范围内失联,路由器要么把它当作"unknown"处理,要么直接拒收原本合法的宣告。

  • 风险.一多半长尾发布点缺乏CDN或多线路冗余,单点故障足以让相关前缀的路由验证在全网范围内失效。

maxLength字段的问题更隐蔽。这份长尾研究里,53.98%的ROA用了maxLength——本意是用一条ROA覆盖多个更细的子前缀,减少管理成本,但RFC 9319明确不建议这么做。原因很直接:BGP按最长匹配原则选路由,如果攻击者控制了被授权的ASN,宣告一个更具体的子前缀,只要ROA的maxLength覆盖了它,RPKI照样判定"有效",等于给潜在的子前缀劫持发了通行证。研究发现,这些宽松maxLength设置里,19.6%的子前缀没有对应的实际BGP宣告覆盖——换句话说,近两成的"授权"目前只是纸面上的,一旦被人抢先宣告,验证机制拦不住。

maxLength:好用但危险的捷径 全部长尾ROA(100%) 使用maxLength(53.98%) 其中无BGP覆盖(19.6%)
  • 结论.长尾服务器体量虽小,但配置质量参差不齐,是ROV链条上最容易被忽略、也最容易补齐的一环。

好消息是,研究里那286条验证状态"未知"的ROA都没有对应的活跃BGP宣告——说明目前还没有真实攻击在利用这些漏洞。但这更像是运气而非防线:只要有人愿意花心思盯上一个配置疏忽的小仓库,理论上的风险随时能变成实际的路由劫持。对依赖ROV过滤流量的网络运营商来说,接下来该盯的不是这些服务器背后是谁,而是它们的maxLength设置有没有跟实际BGP宣告对齐。