在 2022 年,全球有接近 50 亿人 (以及不计其数的“机器人”)使用互联网,对有关这种使用情况的汇总数据进行分析可以揭示一些非常耐人寻味的趋势。为此,我们非常高兴能够发布 Cloudflare Radar 2022 年度回顾,提供各种交互式图表和地图,以便人们探索过去一年来互联网上发生的变化。年度回顾网站是 Cloudflare Radar 的一部分,而后者今年 9 月才通过推出 Radar 2.0 来庆祝第二个生日。
我们将观察到的趋势分成三个不同的主题:流量、采用和安全。每个领域涵盖的内容在如下相应部分将有更详细的描述。在 2021 年度回顾的基础上,我们在今年增加了几个新的指标,也改良了基本的方法论。(因此,这些图表没有直接的可比性,无法形成对同比变化的洞察。)
以每周级别显示的网站可视化涵盖从 2022 年 1 月 2 日到 11 月 26 日期间(即全年的第一个完整周开始到 11 月的最后一个完整周结束)。我们计划在 2023 年初将底层数据集更新到年底。网站上提供了接近 200 个地点的趋势,一些较小或人口较少的地点由于数据不足而被排除。
开始之前,对于更愿意查看主要统计并自行探索数据的人,欢迎访问网站。如需了解更详尽但精心编排的观察结果,请继续阅读下文。无论如何,我们鼓励您考虑本文以及网站各部分介绍的趋势如何影响您的企业或组织,并考虑您可以如何利用这些洞察采取明智的行动,以改进用户体验或增强安全态势。
流量
任何关注近期科技头条新闻的人都可能会认为,互联网数十年来的惊人增长趋势终于开始动摇了。在这样的时期,数据至关重要。我们的数据表明,全球互联网流量势头依然强劲,今年增长了 23%。
为了确定随时间推移的流量趋势,我们首先确定一个基线,即 2022 年第二个完整日历周(1 月 9-15 日)的日平均流量(不包括机器人流量)。我们之所以选择第二个日历周,是为了让人们在寒假和元旦之后有足够时间做出调整,并回到“正常”的日常生活(学习、工作等)。图表中趋势线上显示的变化百分比是相对于基线值计算的,并代表七天的移动平均值 —— 并不代表一个位置的绝对流量。采用七天平均值是为了抚平每天级别上看到的急剧变化。除了计算流量增长之外,利用我们的 1.1.1.1 公共 DNS 解析器和广泛的全球客户群,我们还具备对在线活动的独特观察视角。这包括对最热门互联网内容类型和互联网服务的总体和特定类别,以及机器人的影响。当然,如果连接不可用,这一切都会毫无意义,所以我们还深入分析了 2022 年观察到的重大互联网故障。
流量趋势
在经历了最初的下滑之后,全球互联网流量在 2022 年北京冬季奥运会期间出现了轻微增长,但在奥运会结束后的几周内再次下滑。在经历了几个月的小幅增长后,进入 7 月份,流量再次降至基线以下。然而,在达到最低点之后,互联网流量在下半年经历了相当稳定的增长。在 11 月底的全球流量图以及多个地点的流量图中可以看到一个向上的拐点。流量分析显示,节假日初期的(电子商务网站)购物流量,叠加 2022 年卡塔尔世界杯预备阶段和比赛初期的流量,导致了以上流量增长。
Impact Week 期间发布的博客文章:Cloudflare 向乌克兰提供援助的最新情况从攻击角度观察了俄乌冲突。通过互联网流量的视角来观察乌克兰 ,让我们了解战争对该国互联网连接的破坏所造成的影响。互联网流量在年初经历轻微增长,但在 2 月 24 日俄乌冲突爆发后, 趋势被迅速扭转。随着基础设施遭到破坏,民众集中精力寻找安全和避难所,流量迅速下降。尽管流量在最初的急剧下降后开始再次增长,5 月和 6 月期间的下降似乎与 Cloudflare 观察到的严重中断有关。在 8 月恢复增长后,9 月、10 月和 11 月出现了几次额外的中断,与俄罗斯攻击造成的全国大范围停电一致。
可靠的电力供应对可靠的互联网连接至关重要,无论是对数据中心的核心网络基础设施,还是对最后一英里的基础设施,如移动通信基站和 Wi-Fi 路由器,以及笔记本电脑、手机和其他用于访问互联网的设备。多年来,波多黎各的居民一直与不可靠的电网作斗争, 后者导致了频繁停电和缓慢恢复。在 2022 年,该岛发生了两次持续多天的停电。在 4 月,一家发电厂的火灾导致持续三天的停电,期间互联网连接中断。在 9 月,飓风菲奥娜造成的大范围停电导致互联网流量迅速下降。这次中断持续了一周多,直到供电恢复和基础设施维修完成。
热门类别
Cloudflare 的全球客户群涵盖一系列行业类别,包括科技、电子商务和娱乐等。对客户网站和应用流量的分析揭示了全年最受欢迎的内容类别,并可以根据用户位置进行细分。与每个客户区域相关联的域有一个或多个相关联的类别 —— 这些信息可在 Cloudflare Radar 上查看。为了计算每个地点的类别流量分布,我们将对给定类别相关域一周内的请求数量除以同一周内对该类别的请求总数,但剔除机器人流量。如果一个域与多个类别相关联,则相关请求将包含在每个类别的汇总计数中。该图表显示了所选类别的请求分布在一年中是如何变化的。
全球范围内,科技类别的网站是最为热门,大致占全年流量的三分之一。第二大热门类别是商业与经济,大致占流量的 15%。随着消费者开始节假日购物,购物与拍卖的流量也在 11 月出现激增。
在韩国,互联网通信在年内始终是第二大热门类别,这一点与亚洲其他国家或地区形成鲜明对比。在其他地方,互联网通信偶尔排到前五,但通常在前十之内。紧随互联网通信之后的是娱乐、商业与经济。前者在年内多个时间段出现流量增加,与此形成鲜明对比的是,其他类别的流量份额相当稳定。
土耳其的流量分布罕见地不同于世界上大多数其他地点。虽然科技在年初是最热门的类别,但其热门程度在下半年逐渐减退,最终排在购物与拍卖、社交与生活方式之后。后两个类别从 9 月开始逐渐增长,并在 11 月出现更大增长。商业与经济、娱乐网站在该国的热门程度相对较低,与世界其他许多地点形成鲜明对比。
亚美尼亚的流量分布也不同于其他许多地点。娱乐是几乎全年最热门的类别,只有 11 月最后一周例外。科技总体而言是第二大热门类别,但年内数次被博彩类别超过。不过,博彩类别的热门程度在 11 月显著下滑,被购物与拍卖、商业与经济类别超过。
最热门的互联网服务
成为热门互联网服务的好处在于,该服务的品牌认知度非常高,所以,Google 在我们的总体排名中位居第一也就不足为奇了。
前 10 名 — 总体,2022 年底排名
1. Google
2. Facebook
3. Apple、TikTok(并列)
5. YouTube
6. Microsoft
7. Amazon Web Services
8. Instagram
9. Amazon
10. iCloud、Netflix、Twitter、Yahoo(并列)
除了以上总体前 10 排名,Cloudflare 1.1.1.1 公共 DNS 解析器的匿名化 DNS 查询数据反映了世界各地数千万用户的流量,让我们也能提供基于类别的排名。虽然您可以在年度回顾网站的 “最热门互联网服务”部分看到全部排名,我们决定在下面列出一些我们最喜欢的观察结果。
加密货币似乎总是有多少承诺就有多少争议。我们不禁想知道哪些加密货币服务是最受欢迎的。但在介绍前 10 名前,让我们要说一个落选者:FTX。作为世界第三大加密货币交易所,我们的受欢迎程度排名显示,它在今年的大部分时间里徘徊在第 9 位左右。直到它在 11 月申请破产。当时流量出现急剧下降,似乎也吻合有关 FTX 禁止用户提取加密货币的报道。回到前 10 名,另外两家主要加密货币交易所 Binance 和 Coinbase 分别排名第 1 和第 3,在我们的排名中似乎没有受到 FTX 的不利影响。
宇宙一直是有史以来最热门的类别,但有人表示,我们很快就会进入元宇宙。如果确实如此,那么问题就变成了“谁的元世界?”。去年,Facebook 更名为 Meta,并向这个领域投入了数十亿美元,所以我们很好奇他们的努力对一年后的元宇宙景观有什么影响。随着 Meta 的 Oculus 率先进军元宇宙,我们的数据表明,其受欢迎程度有了明显的提高,在下半年从第 10 名上升到第 5 名。但是,Roblox 显然是元宇宙竞技场的冠军。这个规模较小的挑战者居然超越了市值相当于它大约 18 倍的 Meta 运营的 Oculus,确实不可思议。我们渴望在 2023 年底再次查看 Oculus 的排名上升是否会推翻 Roblox,抑或这个较小的参与者得以保住王座。
不过,Facebook 变成 Meta 似乎并未影响其作为社交媒体平台的热门程度。在我们的最热门社交媒体平台排名中,Facebook 全年保持榜首位置。TikTok 和 Snapchat 也稳居前五位的排名。Instagram 和 Twitter 在年中多次交换排名,但 Instagram 这个照片和视频分享应用最终在 8 月夺走了 Twitter 的第 3 名位置。前 10 名的后半部分变动更加剧烈,领英、Discord 和 Reddit 在排名的第 6、第 7、第 8 位之间频繁变换座次。
虽然这些是如今最热门的网站,但在过去 20 多年来,社交媒体平台的格局一直是风云变幻的,新的参与者不断涌现。一些参与者站稳脚跟,取得成功,而另一些则成为互联网历史的脚注。虽然 Mastodon 实际上自 2016 年以来就一直存在,但它现在成了空间中的最新潜在搅局者。在热门社交媒体平台运行闭源中心化平台的格局中,Mastodon 提供免费的开源软件,让任何人都能开始自己的社交网络平台,围绕去中心化架构构建,并与其他人轻松联合。
聚合前 400 大 Mastodon 实例所使用的域名,这一群体在年初徘徊在最热门服务总排名第 200 名附近。年内,其在总体排名中的位次稳步提升,于 11 月达到拐点,上升了大约 60 名。这一趋势似乎得益于人们对 Mastodon 的关注和使用激增,具体我们会在下面的“采用”部分中详述。
机器人流量
机器人(bot)流量指访问网站或应用程序的任何非人类流量。一些机器人是有用的,例如监控网站和应用程序可用性的机器人,或为内容搜索进行索引的搜索引擎机器人,Cloudflare 维护一个已知执行此类服务的已验证机器人列表。然而,对其他未经验证的机器人活动的可见性同样、甚至更重要,因为它们可能被用于执行恶意活动,例如侵入用户帐户或扫描 Web 以寻找可利用的暴露漏洞。为了计算机器人流量百分比,我们使用分配给每个请求的机器人分数来识别那些由机器人发出的请求,然后用这些机器人每天的请求总数除以每天的请求总数。这些计算是同时在全球和每个地点的基础上进行的。趋势图中显示的线条代表 7 天移动平均值。对于前 10 排名图表,我们计算了每个地点每月的平均机器人百分比,然后按百分比对各个地点进行排名。图表显示了按月份的排名,以及这些排名在一年中是如何变化的。
全球范围内,机器人总体上占到全年 30-35% 的流量。机器人流量百分比在 1 月约为 35%,到 2 月末下降了接近四分之一,但随后又收复一些失地,一直到 10 月都保持在略高于 30%。11 月初出现轻微的下降趋势,原因是人类流量增加,而机器人流量保持相当稳定。尽管有几次名义上的上涨/下跌,但全球趋势在全年总体上表现出相当低的波动性。
虽然全球约三分之一的流量来自机器人,但有两个地点的机器人流量比例是全球水平的两倍。除了年中两次短暂的高峰外,来自爱尔兰的流量中略低于 70% 被归类为机器人流量。类似地,在新加坡,机器人流量在全年保持在 60-70% 之间。机器人在来自这些地点的流量中占了大部分份额,原因是在每个地点存在来自多云平台提供商的本地“区域”。因为这样做很容易自动化,而且免费/廉价,攻击者会经常在这些云中启动短暂的实例,以发动大规模攻击,例如我们在 6 月的 “Mantis” 攻击中所见那样。 (内部流量分析表明,这两个地点的流量有很大一部分来自云提供商网络,且我们看到的来自这些网络的绝大多数流量都被归类为机器人流量。)
机器人流量百分比最高的前 10 排名在年内发生相当大的变化,四个不同地点在年内某个时间点占据榜首,不过土库曼斯坦占据榜首的时间最长。总体来说,17 个地点在 2022 年期间某个时间点进入前 10 名,其中欧洲和亚洲的地点比较集中。
互联网中断
虽然 2022 年年度回顾中包含的指标最终由全世界各个网络和地点到 Cloudflare 的互联网流量驱动,但遗憾的是,有时流量会发生中断。这些中断有一些潜在原因,包括自然灾害和极端天气、光纤电缆被切断或停电。不过,在威权政府下令在网络、区域或全国范围关闭互联网连接时,也可能发生中断。
我们在 2022 年期间看到了所有这些类型的互联网中断实例,并在季度概述博客文章进行了介绍。继 9 月推出 Radar 2.0后,我们也开始在 Cloudflare Radar Outage Center 中对其进行归类。这些中断通常表现为来自特定网络、地区或国家的 Cloudflare 流量下降。2022 年度回顾网站展示了年内这些中断在哪里发生。下面重点介绍 2022 年期间观察到的一些重大中断事件。
今年最严重的一次互联网中断发生在 AS812 (Rogers) —— 加拿大最大的互联网服务提供商之一。 7 月 8 日上午,流量几乎完全中断,近 24 小时后流量才恢复正常。在该 ISP 尝试恢复网络连接时,Cloudflare 的一篇博客文章跟踪了中断期间的实时数据。来自 APNIC 的数据估计,多达 500 万用户受到直接影响,而媒体报道指出这次中断还影响了电话系统、POS 系统、自动柜员机和网上银行服务。根据 Rogers 首席执行官发布的一份通告, 这次中断是由于“我们的核心网络进行维护更新后出现网络系统故障,导致我们的一些路由器发生故障”。
9 月下旬,玛莎·阿米尼(Mahsa Amini)之死导致伊朗各地爆发抗议和示威活动。阿米尼是一名来自伊朗库尔德斯坦省的 22 岁女子,于 9 月13 日在德黑兰被伊朗“道德警察”逮捕。后者是一个对女性执行严格着装要求的部门。她在警方拘留期间于 9 月 16 日死亡。伊朗政府对使用互联网关闭作为限制与外部世界交流的手段并不陌生。为了应对这些抗议和示威,全国各地的互联网连接经历了多波中断。
三大移动网络提供商 —— AS44244 (Irancell)、 AS57218 (RighTel) 和 AS197207 (MCCI) ——在 9 月 21 日开始实施每日互联网“宵禁”, 一般在当地时间下午 4 时至午夜(协调世界时 1230-2030)之间,尽管有几天的开始时间有所不同。这些定期关闭一直持续到 10 月初,中旬还发生了几次临时中断,以及其他更局部的互联网关闭。仅根据 MCCI 的用户数据,就有超过 7500 万用户受到这些关闭的影响。
电缆被切断也是互联网中断的常见原因,网络工程师中流行一则老笑话,称反铲挖土机是互联网的天敌。反铲挖土机可能威胁到地下光纤电缆,而自然灾害则可能对海底电缆造成破坏。
年初,汤加发生了一次互联网中断的典型例子。 洪阿哈阿帕伊岛(Hunga Tonga–Hunga Ha'apai)火山爆发破坏了连接汤加和斐济的海底电缆,导致持续 38 天的互联网中断。1 月 14 日火山爆发后,汤加只有极少的互联网流量(通过有限的卫星服务)。2 月 22 日,Digicel 宣布, 在初步海底电缆修复完成后,主岛网络已恢复,但据估计,修复连接离岛的国内电缆可能需要额外 6 至 9 个月。在初步电缆维修完成后,我们看到来自汤加的流量迅速增长。
俄乌冲突已经持续了十个月,在此期间,乌克兰全国各地的多个网络都经历了中断。3 月,我们观察到马里乌波尔和其他有战斗进行的城市发生中断。5 月下旬,赫尔森开始了一场长时间的互联网中断, 同时,AS47598 (Khersontelecom) 的流量开始经俄罗斯网络提供商 AS201776 (MIranda) 而非某个乌克兰上游提供商路由。10 月,哈尔科夫、利沃夫、基辅、波尔托瓦州和日托米尔的互联网连接大范围中断。有关以上和其他中断的更多详情,请参见季度互联网中断概述博客文章,以及另外几篇有关乌克兰的博客文章。
采用
Cloudflare 支持数十亿人访问的数百万个网站和应用程序,并提供业界领先的 DNS 解析器服务,因此在关键技术和平台的采用方面具有独特的视角。SpaceX Starlink 在今年频繁登上新闻,我们观察到来自这家卫星互联网服务提供商的流量增加了 15 倍。社交网络平台 Mastodon 在今年也登上新闻,也受到越来越多的关注。
由于过去十年内连接设备的增长耗尽了可用的 IPv4 地址空间,IPv6 越来越重要,但年内全球采用率保持在 35% 左右。随着互联网连接人口的持续增长,其中许多人将移动设备作为主要访问手段。为此,我们还将探索全年的移动设备使用趋势。
Starlink 采用
通过地球静止轨道(GEO)卫星连接互联网已经存在了很多年,但这项服务一直受到高延迟和较慢速度的阻碍。然而,2019 年 SpaceX Starlink 低地球轨道(LEO)卫星互联网服务推出,以及随后的卫星群扩展,使许多以前传统有线或无线宽带服务缺乏或不足的地方可以使用高性能互联网连接。为了跟踪 Starlink 服务的使用和可用性增长,我们分析了 2022 年期间与该服务的自治系统 (AS14593) 相关的 Cloudflare 总流量。虽然 Starlink 还没有在全球范围内使用,但我们确实看到了一些地点的流量增长。图中趋势线上显示的请求量代表了 7 天移动平均值。
自 2 月下旬爆发以来,俄乌冲突造成的破坏已经导致传统有线和无线互联网连接中断。同月,Starlink 在乌克兰国内激活服务, 让必须的卫星互联网通信更普遍可用,成了当时的头条新闻。几天内,Cloudflare 开始观察到 Starlink 流量,并在年内持续增长。
许多地点对这项服务的潜在兴趣也很明显,在 Starlink 宣布可用后,这些地区的流量快速增长。其中一个例子罗马尼亚,该国包括在 Starlink 5 月有关扩大服务覆盖范围的公告中,公告后流量出现迅速增长。
而在 Starlink 自推出以来一直提供服务的美国,截至 11 月底流量增长了 10 倍以上。年内宣布的一些服务增强,例如从行驶中的车辆、 船只和飞机连接互联网的能力,有望推动未来流量进一步增长。
Mastodon 受到关注
我们在上文指出,Mastodon 的热门程度在 2022 年最后几个月达到拐点。为了更好地理解 Mastodon 受到的关注度在 2022 年是如何发展演化的,我们分析了 400 个最热门 Mastodon 实例相关域名的汇总 1.1.1.1 请求量数据,按地点查看汇总请求量。图中趋势线上显示的请求量表示 7 天移动平均值。
虽然 Mastodon 受到的关注度在今年最后几个月明显加速提高,但这一关注度在全世界的分布并不均匀,因为我们在许多地点观察到的流量极少,甚至为零。这些位置的图形未包含在年度回顾网站中。不过,由于 Mastodon 自 2016 年以来就一直存在,它在过去 6 年里积累了一批早期采用者,然后在 2022 年大放异彩。
那些早期采用者在全球级别上可见。在今年前 9 个月,我们看到分析的 Mastodon 实例域名的解析器流量稳定,4 月下旬可见的增长与埃隆·马斯克宣布达成以 440 亿美元收购 Twitter 的交易一致。随着收购很快就会完成的可能性越来越明显,曲线斜率在 10 月发生明显的变化,而在交易完成后,11 月曲线出现进一步增长。这一增长可能是因为原有但休眠的 Mastodon 帐户再次活跃,以及新用户涌入。
在美国观察到的流量模式看起来相当类似于全球模式,现有用户群体的流量从 10 月下旬开始也出现大幅增长。
虽然核心 Mastodon 软件是由住在德国的一位程序员开发的,且相关组织是在德国注册的非营利组织,但其似乎不具备显著的主场优势。全年大部分时间,德国的查询量都处于相对较低的水平,仅在 10 月底开始迅速增加,类似于其他多个国家/地区所观察到的行为。
IPv6 采用
尽管 IPv6 已经存在了接近 25 年,但在这段时间内,采用速度相对缓慢。然而,随可用 IPv4 地址空间枯竭,以及联网和移动设备增长,IPv6 在互联网的未来中发挥着关键作用。自 2011 年第一个生日以来,Cloudflare 就开始支持客户通过 IPv6 交付内容,并从那时起,我们以多种方式发展了支持。通过对 Cloudflare 网络流量的分析,我们可以深入了解 IPv6 在互联网上的采用情况。
在全球范围内,IPv6 采用率全年徘徊在 35% 附近,图中所示趋势线中呈现轻微增长。令人鼓舞的是,对双栈内容的每三个请求中就有一个请求是通过 IPv6 发起的,但此采用率表明还有提高的明显机会。
为了计算每个地点的 IPv6 采用率,我们确定了一组在 2022 年期间启用了 IPv6(采用“双栈”)的客户区域,然后将通过 IPv6 对这些区域发起的每日请求数量除以对这些区域发起的每日 IPv4 和 IPv6 请求总和,在两种情况下都过滤掉机器人流量。趋势图中所示的线条表示 7 天移动平均值。对于前 10 名的图表,我们计算了每个地点每月的平均 IPv6 采用水平,然后按百分比对这些地点排名。图表按月展示排名,以及这些排名在全年的变化。
抓住该机会的一个地点是印度,在全年录得最高的 IPv6 的采用率。继 7月采用率超过 70% 之后,在夏末开始略有下降,并在随后的几个月里下降了几个百分点。
印度在该领域领先的一个关键驱动因素是 Jio 对 IPv6 的支持。Jio 是印度最大的移动网络运营商,也是一家光纤到户宽带连接提供商。该公司在 2015 年晚些时候开始积极支持 IPv6,现在 Jio 的大部分核心网络基础设施是纯 IPv6 的, 而面向客户的移动和光纤连接是双栈的。
同样朝着正确方向前进的还有全球 60 多个地点,今年的 IP 采用率增加了一倍多。最大增长之一来自欧洲国家格鲁吉亚,得益于 Magticom(格鲁吉亚主要电信服务提供商)在 2 月和 3 月期间的快速增长,年底该国 IPv6 采用率达到 10%,同比增长超过 3500%。
这个集合中的其他许多地点也在短时间内经历了大幅增长,很可能源于本地网络提供商启用对 IPv6 的用户支持。调查的全部地点中超过四分之一出现显著增长,这当然是一个积极的迹象。然而,必须指出的是,超过 50 个地点的采用率低于 10%,其中超过半数远低于 1%,即使是在采用率增加一倍以上后仍是如此。全世界的互联网服务提供商继续为其用户增加或改进 IPv6 支持,但许多提供商的采用率极低甚至为零,这为未来的改进提供了重大机会。
如上所述,2022 年期间,印度的 IPv6 采用水平最高。在前 10 名榜单的其他地点中,沙特阿拉伯和马来西亚多次互换位置,采用率各为第二和第三高,分别略低于 60% 和 55% 左右。第一季度期间,美国似乎在前 10 名榜单中垫底,但年内余下时间内排名更低。比利时排名最为稳定,从 3 月到 11 月一直保持第四名,IPv6 采用率在 55% 左右。总体而言,共有 14 个地点在年内某个时间点跻身前十。
移动设备使用情况
每年,移动设备变得越来越强大,在许多地方越来越多地用作互联网的主要接入工具。事实上,在世界上的一些地方,所谓的“桌面”设备(包括笔记本电脑规格)是互联网访问的例外,而不是常规。
通过分析每个内容请求所包含的信息,我们能够对于发出请求的设备类型(移动设备或桌面设备)进行分类。为了计算按地点划分的移动设备使用百分比,我们将移动设备在一周内发出的请求数量除以该周看到的请求总数,在这两种情况下都过滤掉机器人流量。对于前 10 名图表,我们根据计算出的百分比对地点进行排名。图表显示了按月份的排名,以及这些排名在一年中是如何变化的。观察前 10 名图表,我们注意到,伊朗和苏丹在今年大部分时间占据前两名位次,仅在 1 月和 11 月分别被也门和毛里塔尼亚超越。不过,在前两名以下,前 10 名其余位次在全年均存在明显波动。然而,波动实际上集中在相对较小的百分比范围内,排名最前和最后的地点之间仅相差 5 到 10 个百分点,具体取决于星期。总体而言,排名靠前的地点有 80-85% 的流量来自移动设备,而排名靠后的地点有 75-80% 的流量来自移动设备。
这一分析加强了移动连接在伊朗的重要性,并凸显了为什么移动网络提供商在 9 月和 10 月成为互联网关闭的目标(见上文所述)。(而随后的关闭也解释了为什么伊朗在 9 月之后从前 10 名榜单中消失。)
安全
提高互联网的安全性是 Cloudflare 帮助建设更好互联网这一努力中的关键一环。其中一种方法是保护客户网站、应用程序和网络基础设施免受恶意流量和攻击。由于恶意行为者经常使用各种技术和方法来发起攻击,我们的安全解决方案组合中有许多产品,可以为客户提供灵活处理这些攻击的方法。下面,我们将探讨从我们代表客户进行的攻击缓解中所获得的见解,包括我们如何缓解攻击,攻击的目标是什么类型的网站和应用程序,以及这些攻击看上去来自哪里。此外,在 2022 年初收购Area 1 后,我们可以深入了解恶意电子邮件的来源。对这些数据的分析凸显出,并不存在“一刀切”的安全解决方案,这是因为攻击者会使用各种各样的技术,并经常切换。因此,拥有广泛而灵活的安全解决方案组合对 CISO 和 CIO 来说都是至关重要的。
缓解来源
根据攻击者采取的方法和目标内容的类型,某一种攻击缓解技术可能比另一种更可取。Cloudflare 将这些技术称为“缓解来源”,其中不仅包括流行的工具和技术,例如 Web 应用程序防火墙 (WAF) 和 DDoS 缓解 (DDoS),也包括相对不为人所知的技术,例如 IP 声誉 (IPR)、访问规则 (AR)、机器人管理 (BM) 和 API Shield (APIS)。查看缓解来源应用的地点分布情况,帮助我们更好地了解源自这些地点的攻击类型。为了计算与每个缓解来源相关的缓解流量的百分比,我们将每个来源每日缓解请求总数除以当天看到的缓解请求总数。机器人流量也包括在这些计算中,因为许多攻击都来自机器人。单个请求可以通过多种技术来缓解,在这里我们考虑缓解请求的最后一种技术。
在许多地点,IP 声誉、机器人管理和访问规则在全年占缓解流量的一小部分,数量因国家或地区而异。不过,在其他地点,IP 声誉和访问规则占缓解流量的更大比例,可能表明这些地点有更多流量被直接阻止。多个国家或地区在 1 月期间 DDoS 缓解流量快速大幅增加到 80-90% 区间,随后快速下滑到 10-20% 区间。同样,DDoS 缓解和 WAF 的百分比变化频繁急剧变化,仅偶尔一段时间维持相对稳定。
总体而言,DDoS 缓解和 WAF 是对付攻击最常用的两种技术。前者在全球范围内的份额在 1 月中旬最高,增长到近 80%,而后者在 2 月达到峰值,占当时缓解流量的近 60%。访问规则的使用在 8 月份出现了明显的高峰,与美国、 阿联酋和马来西亚观察到的类似峰值有关。
虽然访问规则占到美国 8 月缓解流量的比例高达 20%,但在全年其余时间的使用率要低得多。DDoS 缓解是用于缓解来自美国的攻击流量的主要技术,在第一季度占此类流量的 80% 以上,不过到 8 月则稳步下降。作为补充,WAF 在年初仅驱动了大约 20% 的缓解流量,但该数字稳步增长,到 8 月已上升至 3 倍。有趣的是,访问规则使用首先快速上升,然后快速下滑,类似于 WAF,可能表明实施了更多有针对性的规则,以增强 Web 应用程序防火墙针对源自美国的攻击应用的托管规则。
访问规则和 IP 声誉被更加频繁地应用来缓解来自德国的攻击流量,而机器人管理在 2 月、3 月和 6 月的使用也出现增加。不过,除了 2 月和 7 月的时间段之外,DDoS 缓解驱动了大部分缓解流量,总体区间在 60-80%。2 月期间 WAF 缓解显然最为主要,占到 70-80% 的缓解流量,而在 7 月则占到大约 60%。
在缓解来自日本的攻击时,比较有意思的是,机器人管理的使用出现几次明显的峰值。在 3 月,它短暂占到超过 40% 的缓解流量,另一个峰值出现在 6 月,幅度只有一半。访问规则也在图中维持了稳定的比例,从1 月到 8 月一直占大约 5% 的缓解流量,但在接下来几个月稍有下降。在处理日本的攻击流量时,WAF 和 DDoS 缓解频繁互换位次而成为最大的流量缓解来源,尽管并不存在清晰的模式或显然的周期。两者都在全年一些时候最高占到 90% 的缓解流量 —— WAF 在 2 月,DDoS 缓解在 3 月。DDoS 缓解的“主导”期往往更持久,持续几个星期,但中间穿插短暂的 WAF 峰值。
WAF 规则
如前所述,Cloudflare 的 WAF 常用于缓解应用程序层攻击。有数百个单独管理的规则,由 WAF 根据缓解请求的特征进行应用,但这些规则可以分为十多种类型。按地点考察 WAF 规则的分布,有助于我们更好地理解来自该位置的攻击所使用的技术。(例如,攻击者是企图将 SQL 代码注入表单字段,还是利用某个公布的 CVE 漏洞?)为了计算每个地点的 WAF 缓解流量在规则类型集上的分布,我们将一周内看到的特定类型 WAF 规则缓解的请求数除以该周看到的 WAF 缓解请求总数。单个请求可以被多个规则缓解,在这里我们考虑缓解某个请求的序列中的最后一个规则。该图显示了选定规则类型中缓解请求的分布在一年中如何变化。机器人流量也包括在这些计算中。
全球范围内,在今年的头几个月里,大约有一半的 HTTP 请求被我们的托管 WAF 规则阻止,其中包含 HTTP 异常,例如格式错误的方法名、标头中的空字节字符、非标准端口或内容长度为零的 POST 请求。在此期间,目录遍历和 SQL 注入(SQLi) 也只占缓解请求的 10% 多一点。从 5 月份开始,攻击者的方法开始进一步多样化,跨站点脚本 (XSS)和文件包含占缓解流量的比例均增加到 10% 以上,同时 HTTP 异常下降到 30% 以下。软件特定规则的使用在 7 月份增长了10%以上,攻击者显然加大了利用供应商特定漏洞的力度。在过去几个月内,失效的身份验证和命令注入规则集的活动也有所增长,这表明攻击者加大了寻找登录/身份验证系统漏洞的力度,或在易受攻击的系统上执行命令以试图获得访问权限。
虽然从全球汇总缓解数据来看,HTTP 异常是最频繁应用的规则,但它在多个地点仅短暂占据最高位次,如下所述。
源自澳大利亚的攻击是使用多个规则集进行 WAF 缓解的,应用最多的规则集在今年上半年频繁变化。与全球总体情况不同的是,HTTP 异常仅在 2 月一周的时间里成为排名最高的规则集,占比略高于 30%。除此之外,攻击最常使用软件特定、目录遍历、文件包含和 SQLi 规则进行缓解,总体占 25-35%。不过,这一模式从 7 月开始发生变化,当时目录遍历攻击成为最常见的类型,在今年剩余时间一直保持这种状态。SQLi 攻击在 6 月达到峰值之后,占比迅速下降并保持在 10% 以下。
对于源自加拿大的攻击,WAF 缓解也呈现出不同于全球模式的状况。虽然 HTTP 异常规则集在年初占到大约三分之二的缓解请求,但到 1 月底已减少一半,并在全年剩余时间里呈现出较大波动。对澳大利亚流量的 SQLi 缓解实际上呈现出相反的模式,年初占比不到 10%,但随后迅速增长,在全年多次占到 60% 或更高的缓解流量。有意思的是,来自加拿大的 SQLi 攻击似乎是一波一波发起的,每波持续数周,每波期间成为应用最多的规则集,然后短暂消退。
对于源自瑞士的攻击,HTTP 异常规则集从未达到最频繁调用的程度,不过它在全年保持在前 5 名内。相反,目录遍历和 XSS 规则使用最为频繁,占到高达 40% 的缓解请求。目录遍历最稳定地占据榜首,不过 XSS 攻击在 8 月期间最流行。SQLi 攻击在 4 月、7 月/8 月出现峰值,然后在 11 月底再次出现峰值。软件特定规则集也在 9 月发生爆发式增长,占高达 20% 的缓解请求。
目标类别
上面,我们讨论了流量在一系列类别中的分布如何就用户最感兴趣的内容类型提供洞察。通过缓解视角进行类似分析,我们可以就攻击者最频繁攻击的网站和应用程序类型提供洞察。为了计算每个地点的缓解流量在一组类别中的分布,我们将一周内与给定类别关联的域的缓解请求数除以该周内映射到该类别的请求总数。图表显示缓解请求在每个类别中的分布在全年如何变化。(因此,百分比加总起来不等于 100%)。机器人流量包含在这些计算中。被缓解的攻击流量百分比在不同行业和来源地点之间有很大差异。在一些地方,所有类别被缓解的流量仅占很小比例,而在其他地方,多个类别在 2022 年期间多次出现缓解流量激增的情况。
在全球范围的汇总数据来看,吸引最多攻击(按总体流量比例计)的行业类别在全年呈现较大差异。在 1 月和 2 月,科技网站拥有最大百分比的缓解请求,介于 20-30% 之间。其后,各种不同的类别先后占据榜首,但每个类别占据榜首的时间都不超过几个星期。4 月中旬,旅游网站遭到的攻击数量出现最大突增,当时该类别超过一半的流量被缓解。在 11 月最后一周,随着 2022 年世界杯开始,博彩和娱乐网站出现最大百分比的缓解流量。
对于来自英国的攻击,科技网站在全年持续录得大约 20% 的缓解流量。在其不是缓解最多的类别期间,其他六个类别先后占据榜首。旅游网站经历量两次重大的攻击爆发,4 月期间接近 60% 的流量被缓解,在 10 月则接近 50%。其他类别,包括政府与政治、房地产、宗教、教育,在全年不同的时间曾有过最大份额的缓解流量。源自英国针对娱乐网站的攻击在 11 月底出现大幅跳升,至月底缓解流量占比达到 40%。
类似于全球层面的趋势,在源于美国的攻击 中,科技网站占缓解流量的百分比最高,达到 30-40% 之间。此后,攻击者将重点转移到其他行业类别。在 4 月中旬,旅游网站有超过 60% 的请求作为攻击被缓解。不过,从 5 月开始,博彩网站最频繁地拥有最高百分比的缓解流量,通常介于 20-40% 之间,但在 10 月底/11 月初徒然增长至 70%。
相反,来自日本流量方面,调查涉及类别在 2022 年的缓解比例要小得多。大部分类别的缓解份额不到 10%,不过有时我们观察到一些短暂的突增情况。在 3 月底,政府与政治类别的网站流量短暂跳升到接近 80% 的缓解份额,而旅游网站的缓解份额突增到接近 70%,类似于其他地点出现的行为。在 7 月底,宗教网站的缓解份额超过 60%,一到两个月后,博彩网站的缓解流量迅速增加,达到略高于 40%。这些瞄准博彩网站的攻击在随后几个月消退,然后在 10 月开始再次激增。
钓鱼电子邮件来源
钓鱼电子邮件最终意在诱骗用户向攻击者提供重要网站和应用程序的登录凭据。在消费者层面,这可能包括电商网站或银行应用程序,而对于企业,这可能包括代码存储库或员工信息系统。对于受 Cloudflare Area 1 电子邮件安全服务保护的客户,我们可以识别这些钓鱼电子邮件来自哪个地点。我们使用 IP 地址定位来识别来源地点,汇总电子邮件计数仅适用于 Area 1 处理的电子邮件。对于前 10 名图表,我们汇总了每个地点每周出现的钓鱼电子邮件数量,然后按钓鱼电子邮件数量对各个地点排名。图表按周展示排名,以及这些排名在年内的变化。
查看前 10 名榜单,我们发现,在 2022 年期间 Area 1 观察到的钓鱼电子邮件中,美国是第一来源。美国在几乎全年占据榜首,仅在 11 月一次位居德国之后。前 10 名其他位次在一段时间的波动非常大,总共有 23 个地点在年内至少一个月占据一个排名位次。这些地点在美洲、欧洲和亚洲的地理分布比较均匀,表明世界不同地区的威胁程度是大体相当的。显然,不信任或拒绝源自这些地点的所有电子邮件并不是一个特别切合实际的做法,但应用额外的审查有助于使您的组织和互联网更安全。
总结
试图对我们的“年度回顾”观察结果进行简要的总结并非易事,尤其因为网站可视化中包含了接近 200 个地点的趋势,而本文仅包含其中一小部分。话虽如此,我们希望分享如下几个简单的看法:
- 攻击流量来自四面八方,目标不断变化,使用的技术千差万别。确保安全解决方案提供商能够提供全面的服务组合,帮助保障网站、应用程序和基础设施的安全。
- 全世界的互联网服务提供商都需要加强对 IPv6 的支持,这不再是一项“新”技术,可用的 IPv4 地址空间会变得日益稀缺、日益昂贵。对 IPv6 的支持需要成为未来的默认设置。
- 政府越来越多地使用互联网关闭手段来限制国内通信,限制与世界其他地方的通信。联合国在 2022 年 5 月发布的一份报告中指出, “全面关闭在本质上对人权造成了不可接受的后果,绝不应当实施。”
正如我们在引言中所说,我们鼓励您访问完整的 Cloudflare Radar 2022 年度回顾网站 ,探索与感兴趣的地点和行业相关的趋势,并考虑它们如何影响您的组织,以便您为 2023 年做好充分准备。
如有任何问题,欢迎联系 Cloudflare Radar 团队,电子邮件:[email protected],Twitter:@CloudflareRadar。
致谢
编制 Cloudflare Radar 2022 年度回顾确实需要举众人之力,我们理当感谢众多同事做出的重要贡献,离开了大家的努力,这个项目就不可能成功。鸣谢:Sabina Zejnilovic、Carlos Azevedo、Jorge Pacheco(数据科学);Ricardo Baeta、Syeef Karim(设计);Nuno Pereira、Tiago Dias、Junior Dias de Oliveira(前端开发);João Tomé(最热门互联网服务);以及 Davide Marquês、Paula Tavares、Celso Martinho(项目/工程管理)。