2023 年 Cloudflare Radar 年度回顾是我们对全年在全球和国家/地区层面观察到的各种指标的互联网趋势和模式进行的第四次年度回顾。下面,我们将概述主要研究结果,并在随后的章节中进行更详细的探讨。
主要结果
流量洞察和趋势
- 全球互联网流量增长了 25%,与 2022 年的增长峰值保持一致。重大节假日、恶劣天气和有意关闭明显影响了互联网流量。🔗
- Google 再次成为最受欢迎的通用互联网服务,2021 年的领头羊 TikTok 跌至第四位。OpenAI 是新兴的生成式 AI 类别中最受欢迎的服务,Binance 仍然是最受欢迎的加密货币服务。🔗
- 在全球范围内,超过三分之二的移动设备流量来自 Android 设备。在超过 25 个国家/地区中,Android 在移动设备流量中所占的份额超过 90%;iOS 移动设备流量的峰值份额为 66%。🔗
- 2023 年,Starlink(星链计划)的全球流量增长了近两倍。2022 年年中在巴西启动服务后,2023 年来自该国的 Starlink 流量增长了 17 倍多。🔗
- Google Analytics、React 和 HubSpot 是顶级网站最常用的技术。🔗
- 在全球范围内,近一半的 Web 请求使用 HTTP/2,20% 使用 HTTP/3。🔗
- NodeJS 是制作自动化 API 调用时最常用的语言。🔗
- 2023 年,Cloudflare 收到的最高请求流量来自 Googlebot。🔗
连接性和速度
- 2023 年,全球共发生 180 多起互联网中断事件,其中许多是由于政府指令地区和国家关闭互联网连接造成的。🔗
- 综合 2023 年的数据,全球只有三分之一的 IPv6 请求是通过 IPv6 发出的。而在印度,这一比例达到了 70%。🔗
- 排名前 10 位的国家的平均下载速度均超过 200 Mbps,其中冰岛在衡量互联网质量的全部四项指标上都取得了最佳成绩。🔗
- 全球 40% 以上的流量来自移动设备。在 80 多个国家/地区中,大部分流量都来自移动设备。🔗
安全
- 在全球流量中,仅有不到 6% 的流量因被 Cloudflare 系统视为潜在恶意流量或因客户定义原因而被缓解。在美国,有 3.65% 的流量被缓解,而在韩国,这一比例为 8.36%。🔗
- 全球三分之一的机器人流量来自美国,同时超过 11% 的全球机器人流量来自 Amazon Web Services。🔗
- 在全球范围内,金融业是受攻击最多的行业,但全年和全球范围内,受攻击流量激增的时间和目标行业差别很大。🔗
- 尽管 Log4j 是一个出现时间已久的漏洞,但在 2023 年期间仍然是攻击的首要目标。然而,HTTP/2 Rapid Reset 作为一个新的重大漏洞出现,在一开始就导致了大量破纪录的攻击。🔗
- 1.7% 的 TLS 1.3 流量使用后量子加密。🔗
- 欺骗性链接和勒索企图是恶意电子邮件中最常见的两类威胁。🔗
- 2023 年期间,以 RPKI 有效路由份额衡量的路由安全性在全球范围内得到改善。沙特阿拉伯、阿拉伯联合酋长国和越南等国的路由安全性显著提高。🔗
简介
Cloudflare Radar 于 2020 年 9 月推出,在宣布其可用性的博客文章中,我们讨论了其意图是“照亮互联网的模式”。Cloudflare 的网络目前覆盖 120 多个国家/地区的 310 多座城市,平均每秒为数百万个互联网资产提供超过 5000 万个 HTTP(S) 请求,此外,平均每秒处理超过 7000 万个 DNS 请求。这种巨大的全球足迹和规模生成的数据,与来自补充 Cloudflare 工具的数据相结合,使 Radar 能够针对我们在互联网上观察到的模式和趋势提供独特的近实时视角。在过去几年(2020 年、2021 年、2022 年)中,我们一直将这些见解汇总到年度回顾中,以揭示当年互联网的模式。新的 Cloudflare Radar 2023 年度回顾延续了这一传统,以交互式图表、图形和地图为主要表现形式,您可以使用它们来探索过去一年中观察到的值得注意的互联网趋势。
2023 年度回顾分为三个部分:流量洞察和趋势、连接性和速度以及安全性。我们今年纳入了几个新指标,并尽可能保持基本方法与去年一致。网站可视化每周显示一次,时间跨度为 2023 年 1 月 2 日至 11 月 26 日。网站上提供了 180 多个国家/地区的趋势,但由于数据不足,一些较小或人口较少的地区未包括在内。请注意,某些指标仅以全球视角呈现,如果选择了某个国家/地区,则不会显示。由于 11 月 2 日至 4 日发生了控制平面和分析中断,这三天内相关指标的流量数据以内插值替换。
下面,我们将概述年度回顾的各个主要部分(流量洞察和趋势、连接性和速度以及安全性)所包含的内容,以及值得注意的观察结果和主要发现。此外,我们还发布了一篇配套博文,专门探讨主要互联网服务的发展趋势。
然而,本文中包含的重要观察结果和主要发现仅是年度回顾网站中独特见解的冰山一角,我们强烈建议您访问该网站,以更详细地探索数据并了解您所在国家/地区的趋势。在此期间,我们鼓励您考虑这些博客文章和网站各个部分中呈现的趋势如何影响您的企业或组织,并考虑您可以如何利用这些洞察采取明智的行动,改进用户体验或增强未来的安全态势。
流量洞察和趋势
全球互联网流量增长了 25%,与 2022 年的增长峰值保持一致。重大节假日、恶劣天气和有意关闭明显影响了互联网流量。
25 年前,Worldcom 的高管们声称互联网流量每 100 天(3.5 个月)翻一番。25 年后的今天,我们知道这些说法过于激进,但显而易见的是,随着越来越多的设备连接起来,互联网正在快速发展,越来越多的网站、应用程序和服务都在消费互联网内容。
为了确定一段时间内的流量趋势,我们首先确定了基线,它计算为相对于 2023 年第二个完整日历周(1 月 8-14 日)的平均每日流量(不包括机器人流量)。我们选择了第二个日历周,以便人们在冬季节假日和元旦之后有足够时间做出调整,回到“正常”的日常生活(学习、工作等)。我们流量趋势图表中所示的百分比变化相对于基线值进行计算,并表示 7 天滞后平均值,而不表示一个国家/地区的绝对流量。取 7 天平均值是为了平滑每天细粒度所见的急剧变化。同时显示了 2022 年的趋势线以供比较之用。
我们的数据显示,2023 年全球互联网流量增长了 25%,下半年名义初始增长加速。总体而言,这一模式与 2022 年观察到的情况类似(去年 2 月底的峰值除外),并且今年的峰值增长仅略高于 2022 年的峰值增长水平。加拿大的流量模式也与去年同期相当一致。今年表现出类似的季节性,2022 年和 2023 年的峰值增长均超过 30%。在许多国家,2022 年趋势线显示,圣诞节假期前的流量明显下降,元旦前略有反弹。让我们来看一下 2023 年的流量是否也遵循这种模式。
与 2022 年流量趋势进行比较可更加明显地看出重大节假日对互联网流量的影响。例如,在印度尼西亚、土耳其和阿拉伯联合酋长国等穆斯林国家,因为庆祝开斋节(标志着斋月斋戒结束的节日),2023 年 4 月 21 日至 23 日期间流量明显下降,而在去年 5 月 2 日至 3 日的该庆祝活动期间,2022 年趋势线也出现了类似的下跌。在意大利,4 月 9 日至 10 日,Pasqua di Resurrezione 和 Lunedì dell'Angelo(复活节周日和周一)期间的流量明显下降,比 2022 年类似的流量下降提前一周。
此外,互联网连接的长期中断在流量趋势图中也清晰可见。例如,毛里塔尼亚于 3 月 6 日至 12 日和 5 月 30 日至 6 月 6 日期间实施了政府指导的关停,加蓬于 8 月 26 日至 30 日实施了关停,关岛从 5 月 24 日起,因超强台风“玛娃”导致流量连续多周下降。
Google 再次成为最受欢迎的通用互联网服务,2021 年的领头羊 TikTok 跌至第四位。OpenAI 是新兴的生成式 AI 类别中最受欢迎的服务,Binance 仍然是最受欢迎的加密货币服务。
过去几年年度回顾中最受欢迎的部分之一是对最流行的互联网服务的探索,包括一般服务和跨多个类别的服务。这些服务受欢迎程度排名基于对来自全球数百万用户的 1.1.1.1 公共 DNS 解析器流量的匿名查询数据的分析。尽管 DNS 解析在域级别运行,但出于这些排名的目的,属于单个互联网服务的域被归为一组。
在整体类别中,Google 再次占据榜首,部分原因是其广泛的服务组合以及 Android 移动操作系统的受欢迎程度。除了电子商务、视频流和消息传递等常年排名靠前的类别之外,今年我们还关注了在 2023 年迅速崛起的生成式 AI。在这一类别中,OpenAI 凭借其一年前才推出的 ChatGPT 的成功和受欢迎程度稳居榜首。尽管今年加密货币领域出现了动荡,但 Binance 仍然是该类别中最受欢迎的服务。
我们将在另一篇博文中更详细地探讨这些分类排名以及特定服务的发展趋势。
在全球范围内,超过三分之二的移动设备流量来自 Android 设备。在超过 25 个国家/地区中,Android 在移动设备流量中所占的份额超过 90%;iOS 移动设备流量的峰值份额为 66%。
Apple 的 iOS 和 Google 的 Android 是移动设备上使用的两大主要操作系统,通过分析每个请求所报告的用户代理信息,我们可以深入了解不同客户端操作系统的全年流量分布情况。鉴于 Android 设备的设备和价位种类繁多,因此在全球移动设备流量中,Android 占大多数也就不足为奇了。
在全球范围内,超过三分之二的移动设备流量来自 Android 设备。这一比例与 2022 年观察到的 Android/iOS 使用情况一致。在 Android 使用率最高的国家/地区中,我们发现孟加拉国和巴布亚新几内亚位居榜首,这两个国家/地区中超过 95% 的移动设备流量来自 Android 设备。仔细观察 Android 使用率特别高的其他国家,我们发现这些国家主要位于非洲、大洋洲/亚洲和南美洲,而且许多国家的人均国民总收入水平较低。从采用的角度来看,低价“经济型”手机的供应可能是 Android 系统的优势所在。
相比之下,虽然 iOS 在国家/地区层面的移动设备流量份额从未超过 70%,但包括丹麦、澳大利亚、日本和加拿大在内的许多 iOS 份额超过 50%的国家中,其人均国民总收入都相对较高,这可能说明这些国家更有能力购买价格更高的设备。
2023 年,Starlink(星链计划)的全球流量增长了近两倍。2022 年年中在巴西启动服务后,2023 年来自该国的 Starlink 流量增长了 17 倍多。
SpaceX 的 Starlink 高速卫星互联网服务自 2019 年推出以来,其覆盖范围持续快速扩大,为许多以前传统有线或无线宽带无法提供服务或服务不足的国家/地区提供了高性能互联网连接。该服务目前为该领域的领导者,Amazon 的 Project Kuiper 服务(今年发射了首批次两颗测试卫星)以及 Eutelsat OneWeb(也于 2023 年扩大了其卫星星座)也将加入其中。
为了跟踪 Starlink 服务使用率和可用性的增长情况,我们分析了 2023 年与该服务的自治系统 (AS14593) 相关的 Cloudflare 总流量。虽然 Starlink 尚未在全球范围内使用,但我们确实看到了多个国家/地区的流量增长。图表中趋势线上显示的请求量是七天的追踪平均值。为便于比较,还显示了 2022 年的趋势线,并按比例缩放到 2022 年和 2023 年的最大值。
在全球范围内,我们看到 Starlink 流量今年增长了两倍多。在美国,来自 Starlink 的流量增长了 2.5 倍以上,在巴西增长了 17 倍以上。在 2023 年开通 Starlink 服务的国家,包括肯尼亚、菲律宾和赞比亚,我们看到服务开通后流量迅速增长。
Google Analytics、React 和 HubSpot 是顶级网站最常用的技术。
现代网站是复杂的产品,依赖于框架、平台、服务和工具的组合,开发者社区有责任使它们彼此共存,以提供无缝的体验。使用我们于 2023 年 3 月推出的 Cloudflare Radar URL Scanner,我们扫描了与前 5000 个域名相关的网站,以识别十几个不同类别中使用的最流行的技术和服务,包括(但不限于)Analytics(其中 Google Analytics 是迄今为止使用最广泛的)、JavaScript 框架(React 在其中处于绝对领先地位)和营销自动化提供商(领先者为 HubSpot,其他几个竞争对手紧随其后)。
在全球范围内,近一半的 Web 请求使用 HTTP/2,20% 使用 HTTP/3。
HTTP(超文本传输协议)是 Web 所依赖的核心协议。HTTP/1.0 于 1996 年首次标准化,HTTP/1.1 于 1999 年标准化,HTTP/2 于 2015 年标准化。最新版本 HTTP/3 于 2022 年完成,并在新的传输协议 QUIC 之上运行。在客户端,最新版本的桌面版和移动版 Google Chrome 和 Mozilla Firefox 以及部分 Apple Safari 用户默认启用 HTTP/3 支持。HTTP/3 可供所有 Cloudflare 客户免费使用,但并非每个客户都选择启用它。
使用 QUIC 允许 HTTP/3 通过减轻数据包丢失和网络变化的影响以及更快地建立连接来提供更高的性能。它还默认提供加密,从而降低攻击风险。仍然使用旧版本 HTTP 的网站和应用程序无法享受这些好处。
我们对每个请求协商的 HTTP 版本进行了分析,从而能够深入了解全年各种协议版本的流量分布情况。(“HTTP/1.x”汇总了通过 HTTP/1.0 和 HTTP/1.1 发出的请求。)在全球范围内,20% 的请求是通过最新版本 HTTP/3 发出的。另外三分之一的请求是通过相对古老的 HTTP/1.x 版本发出的,而 HTTP/2 仍然占主导地位,占据了剩下的 47%。
从版本的地域分布来看,我们发现包括尼泊尔、泰国、马来西亚和斯里兰卡在内的一些亚洲国家使用 HTTP/3 的比例最高,但这些比例没有超过 35%。相比之下,在 2023 年期间,来自爱尔兰、阿尔巴尼亚、芬兰和中国等 10 个国家的 HTTP/1.x 请求超过了一半。
NodeJS 是制作自动化 API 调用时最常用的语言。
此外,随着开发人员越来越多地使用自动化 API 调用来支持动态网站和应用程序,我们可以利用我们对 Web 流量的独特可见性来识别这些 API 客户端所使用的主要语言。在确定与 API 相关的请求并非来自使用浏览器或原生移动应用程序的用户时,我们采用启发式方法来帮助识别构建客户端所使用的语言。
我们的分析发现,近 15% 的自动化 API 调用由 NodeJS 客户端进行,Go、Java、Python 和 .NET 所占份额较小。
2023 年,Cloudflare 收到的最高请求流量来自 Googlebot。
Cloudflare Radar 使用户能够查看选定时间段内国家/地区或网络级别的互联网流量趋势。然而,我们想缩小一点,看看 Cloudflare 在全年中从整个 IPv4 互联网看到的流量。希尔伯特曲线作为“连续空间填充曲线”,具有可用于可视化互联网 IPv4 地址空间的属性。
使用希尔伯特曲线可视化,我们可以可视化 2023 年 1 月 1 日至 11 月 26 日期间前往 Cloudflare 的请求流量(通过 IPv4)聚合情况。为了使用于可视化的数据量易于管理,IP 地址在 /20 级别进行聚合,这意味着在最高缩放级别,每个单元格代表来自 4096 个 IPv4 地址的流量。(IPv6 地址空间规模巨大,其相关流量在这样的可视化中非常难以看到,尤其是因为区域互联网注册管理机构分配的 IPv6 地址空间如此之少。)
在可视化中,IP 地址按所有权分组,对于其中显示的大部分 IP 地址空间,在默认缩放级别下移动鼠标将显示地址块所属的区域互联网注册管理机构 (RIR)。不过,也有一些地址块是在 RIR 系统存在之前分配的,对于这些地址块,会标注其所属组织的名称。逐步缩放最终会显示 IP 地址块所属的自治系统和国家/地区,以及相对于最大值的流量份额。(如果选择了一个国家/地区,则只显示与该地点相关的 IP 地址块)。总体流量份额通过基于色阶的阴影来表示,虽然可以看到一些大的无阴影区块,但这并不一定意味着相关的地址空间未被使用,而是意味着其使用方式可能不会给 Cloudflare 带来流量。
较高请求量的区域(由较暖的橙色/红色阴影表示)明显分散在整个绘图中,但 2023 年 Cloudflare 请求量最大的 IP 地址块是 66.249.64.0/20,属于 Google。该 IP 地址块是 Googlebot Web 爬网程序使用的几个 IP 地址块之一,考虑到 Cloudflare 网络上的 Web 资产数量,这可能是造成高请求量的一个原因。
仅凭简短的摘要和静态截图,很难对这一可视化效果做出正确评价。要了解更多细节,我们建议您访问年度回顾网站,通过拖动和缩放在 IPv4 互联网上移动来进行探索。
连接性和速度
2023 年,全球共发生 180 多起互联网中断事件,其中许多是由于政府指令地区和国家关闭互联网连接造成的。
2023 年,我们经常撰写有关互联网中断的文章,无论是由于技术问题、政府命令的关闭还是地缘政治冲突,以及我们在季度摘要中强调的基础设施恢复问题(包括光纤切断、停电和恶劣天气)。这些中断的影响可能是巨大的,包括重大经济损失和通信严重受限。Cloudflare Radar Outage Center 跟踪这些互联网中断,并使用 Cloudflare 流量数据来深入了解其范围和持续时间。
全年中,有些中断是短暂的,仅持续几个小时,而另一些则持续了数月之久。在后一类中,印度曼尼普尔邦和埃塞俄比亚阿姆哈拉的局部政府指令关闭已分别持续了七个多月和四个月(截至 12 月初)。在前一类中,伊拉克经常出现全国范围内的互联网关闭数小时的情况,目的是防止学术考试作弊——这也是六月、七月和八月时间线中中断事件聚集的原因。
在年度回顾网站的时间线中,将鼠标悬停在一个点上将显示有关该中断的元数据,单击它将打开一个包含更多信息的页面。如果选择了某个国家/地区,则仅显示该国家/地区的中断情况。
综合 2023 年的数据,全球只有三分之一的 IPv6 请求是通过 IPv6 发出的。而在印度,这一比例达到了 70%。
IPv6 早在 1998 年就以某种方式出现了,其扩展的地址空间可以更好地支持过去 25 年来呈指数级增长的互联网连接设备。在此期间,可用的 IPv4 空间已经耗尽,导致连接提供商不得不采用网络地址转换等解决方案,而云和托管提供商则以每个地址高达 50 美元的价格购买 IPv4 地址空间块。IPv6 还为网络提供商带来了许多其他好处,如果实施正确,最终用户应该能够清晰了解其采用情况。
Cloudflare 一直是 IPv6 的积极倡导者,可以追溯到 2011 年我们一岁生日时,当时我们推出了自动 IPv6 网关,为我们的所有客户提供了免费的 IPv6 支持。仅仅几年后,我们就默认为所有客户启用了 IPv6 支持。(虽然默认启用,但出于各种原因,并非所有客户都选择保持启用状态。)但是,这种支持只是完成了推动 IPv6 采用的一半努力,另一半则是最终用户连接的支持。(从技术上讲,过程比这要更复杂一些,但这是两个基本要求。)通过分析向 Cloudflare 发出的每个请求所使用的 IP 版本,我们可以深入了解全年内不同协议版本的流量分布情况。
由于印度电信运营商 Reliance Jio 几乎完全采用了 IPv6,印度用户 70% 的双栈请求是通过 IPv6 发出的。紧随印度之后的是马来西亚,由于该国主要互联网提供商对 IPv6 的采用率很高,2023 年期间该国 66% 的双栈请求是通过 IPv6 发出的。包括沙特阿拉伯、越南、希腊、法国、乌拉圭和泰国在内的其他国家,平均有一半以上的双栈请求是通过 IPv6 发出的。相比之下,在 2023 年期间,约有 40 个国家/地区通过 IPv6 提出的双栈请求不到 1%。在 IPv6 作为标准草案首次发布 25 年之后,如此多的国家/地区在采用 IPv6 方面仍然滞后,这令人十分惊讶。
排名前 10 位的国家的平均下载速度均超过 200 Mbps,其中冰岛在衡量互联网质量的全部四项指标上都取得了最佳成绩。
即使没有面临互联网中断,世界各地的用户也经常面临互联网连接性能不佳的问题,无论是由于低速、高延迟还是这些因素的组合。尽管互联网提供商不断发展其服务组合,提供更高的连接速度和更低的延迟,以支持在线游戏和视频会议等用例的增长,但由于成本、可用性或其他问题,消费者的采用情况往往参差不齐。通过汇总 2023 年期间进行的 speed.cloudflare.com 测试的结果,我们可以从地理角度了解连接质量指标,包括平均下载和上传速度、平均空闲和加载延迟以及测量值的分布情况。
在冰岛,超过 85% 的互联网连接通过光纤进行,在整体互联网质量指标最佳的国家排名中,该国的排名也反映出了这一点。因为速度测试结果显示,那里的提供商提供最高的平均速度(282.5 Mbps 下载, 179.9 Mbps 上传)和最低平均延迟(空闲 9.6 毫秒,加载 77.1 毫秒)。下面的直方图显示,虽然有大量的下载速度在 0- 100 Mbps 之间,但也有大量的测试测量到更高的速度,包括一些超过 1 Gbps 的速度。
包括西班牙、葡萄牙和丹麦在内的西欧国家在多个互联网质量指标中也名列前十。
全球 40% 以上的流量来自移动设备。在 80 多个国家/地区中,大部分流量都来自移动设备。
在过去 15 年左右的时间里,移动设备变得越来越无处不在,成为我们个人和职业生活中不可或缺的设备,这在很大程度上要归功于它们能够让我们随时随地访问互联网。在一些国家/地区,移动设备主要通过 Wi-Fi 连接到互联网,而另一些国家/地区则是“移动优先”,主要通过 4G/5G 服务访问互联网。
通过分析向 Cloudflare 发出的每个请求所报告的用户代理所包含的信息,我们可以将其分类为来自移动设备、桌面设备或其他类型的设备。在全球范围内汇总全年的这一分类,我们发现 42% 的流量来自移动设备,58% 来自笔记本电脑和“经典” PC 等桌面设备。这些流量份额与 2022 年测得的数据一致。赞比亚 79% 的流量来自移动设备,使其成为 2023 年移动设备流量份额最大的国家。其他移动设备流量超过 50% 的国家/地区集中在中东/非洲、亚太地区和南美洲/中美洲。相比之下,芬兰是桌面设备流量份额最高的国家之一,达到 80%。
安全
在全球流量中,仅有不到 6% 的流量因被 Cloudflare 系统视为潜在恶意流量或因客户自定义原因而被缓解。在美国,有 3.65% 的流量被缓解,而在韩国,这一比例为 8.36%。
恶意机器人通常用于攻击网站和应用程序。为了保护客户免受这些威胁,Cloudflare 使用 DDoS 缓解技术或 Web 应用程序防火墙 (WAF) 托管规则来缓解(阻止)此攻击流量。然而,出于各种其他原因,客户也可能选择让 Cloudflare 使用其他技术来缓解流量,例如速率限制请求,或阻止来自给定位置的所有流量(即使它不是恶意的)。通过分析 2023 年全年的 Cloudflare 网络流量,我们得出了被缓解流量(无论出于何种原因)的总体份额,以及作为 DDoS 攻击或被 WAF 托管规则缓解的流量份额。
总体而言,只有不到 6% 的全球流量因潜在恶意或客户定义的原因而被 Cloudflare 系统缓解,而其中只有约 2% 的流量因 DDoS/托管 WAF 而被缓解。百慕大等一些国家的两个指标的百分比非常接近,而巴基斯坦和南非等其他国家的趋势线之间的差距要大得多。
全球三分之一的机器人流量来自美国,同时超过 11% 的全球机器人流量来自 Amazon Web Services。
机器人流量是指任何非人类的互联网流量,监控机器人流量水平可以帮助网站和应用程序所有者发现潜在的恶意活动。当然,机器人也会有所帮助,Cloudflare 维护着一份经过验证的机器人列表,以帮助保持互联网的健康。经过验证的机器人包括那些用于搜索引擎索引、性能测试和可用性监控的机器人。无论意图如何,我们都想看看机器人流量来自哪里,我们可以使用请求的 IP 地址来识别与发出请求的机器人相关的网络(自治系统)和国家/地区。不出所料,我们发现,云平台是机器人流量的主要来源之一。原因可能包括以下几点:计算资源的自动供应/停用非常容易,而且成本相对较低;云平台的地理覆盖范围十分广泛;以及高带宽连接的可用性。
在全球范围内,近 12% 的机器人流量来自 Amazon Web Services,超过 7% 来自 Google。还有一部分来自消费者互联网服务提供商,其中美国宽带提供商 Comcast 提供了超过 1.5% 的全球机器人流量。大量的机器人流量来自美国,占全球机器人流量的近三分之一,是德国的四倍,后者仅占 8%。在美国,Amazon 的机器人流量总份额仅次于 Google。
在全球范围内,金融业是受攻击最多的行业,但全年和全球范围内,受攻击流量激增的时间和目标行业差别很大。
攻击目标行业通常会随着时间的推移而发生变化,具体取决于攻击者的意图。他们可能试图通过在繁忙的购物期间攻击电子商务网站来造成经济损失,或者他们可能试图通过攻击政府相关网站来发表政治声明。为了识别 2023 年期间针对行业的攻击活动,我们分析了在其客户记录中具有相关行业和垂直领域的客户的缓解流量。每周按来源国家/地区汇总 18 个目标行业的缓解流量。
在全球范围内,金融组织在这一年中受到的攻击最多,不过我们可以看到,周与周之间有很大的波动。有趣的是,一些集群现象很明显,因为金融业(包括为移动支付、投资/交易和加密货币提供网站和应用程序的组织)也是一些欧洲国家(包括奥地利、瑞士、法国、英国、爱尔兰、意大利和荷兰)以及北美的加拿大、美国和墨西哥的首要攻击目标。健康产业(包括生产运动器材的公司和医疗检测设备制造商)是多个非洲国家的首要目标,包括贝宁、科特迪瓦、喀麦隆、埃塞俄比亚、塞内加尔和索马里。
但总体而言,今年开局缓慢,没有哪个行业的流量缓解量超过 8%。随着第一季度的推进,在 1 月下旬,专业服务和新闻/媒体/出版组织缓解流量的份额激增,健康行业在 2 月中旬出现了跳跃式增长,在 3 月初,法律和政府组织的缓解流量急剧增加。艺术/娱乐/休闲行业类别的客户成为了一起为期数周的攻击活动的目标,在 3 月 26 日、4 月 2 日和 4 月 9 日这几周内,流量减少了 20% 以上。专业服务行业的缓解流量份额在 8 月 6 日这一周达到了 38.4%,几乎是 1 月份峰值的两倍,是这一年的整体峰值。不同国家/地区出现峰值的时间和行业差异很大。
尽管 Log4j 是一个出现时间已久的漏洞,但在 2023 年期间仍然是攻击的首要目标。然而,HTTP/2 Rapid Reset 作为一个新的重大漏洞出现,在一开始就导致了大量破纪录的攻击。
2023 年 8 月,我们发布了一篇博文,探讨了针对联合网络安全咨询中列出的 2022 年最常被利用的漏洞,Cloudflare 所观察到的流量。这些漏洞包括基于 Log4j Java 的日志记录实用程序、Microsoft Exchange、Atlassian 的 Confluence 平台、VMWare 和 F5 的 BIG-IP 流量管理系统中的漏洞。尽管这些是较旧的漏洞,但攻击者在 2023 年仍在积极针对和利用这些漏洞,部分原因是企业在遵循网络安全咨询中提出的建议方面经常进展缓慢。我们针对这篇博文更新了所做的分析,仅包含 2023 年的攻击活动。
不同地区针对不同漏洞的攻击活动各不相同,有些地区的攻击只针对部分漏洞。从全球范围来看,针对 Log4j 的攻击数量一直比针对其他漏洞的攻击数量要少,而且在 10 月最后一周和 11 月中下旬出现了高峰;针对 Atlassian 漏洞的攻击活动在 7 月下旬有所增加,并在本年度其余时间呈缓慢上升趋势。从国家/地区层面来看,Log4j 通常是最受针对的漏洞。在法国、德国、印度和美国等国家/地区,相关的攻击量在全年都保持在一个较高的水平,而其他国家/地区 ,这些攻击在一个国家/地区的图表中明显地表现出罕见的、短暂的峰值,穿插在其他低水平的攻击量之间。
我们还预计,到 2024 年,攻击者将继续针对 10 月份披露的 HTTP/2 Rapid Reset 漏洞。该漏洞(有关详细信息,请参阅 CVE-2023-44487)滥用了 HTTP/2 协议的请求取消功能中的潜在弱点,导致目标 Web/代理服务器上的资源耗尽。8 月底到 10 月初期间,我们发现了多起针对该漏洞的攻击。在这些攻击中,平均攻击速率为每秒 3000 万个请求 (rps),其中近 90 个请求峰值超过 1 亿 rps,最大的一次达到 2.01 亿 rps。这场最大规模的攻击比我们之前记录的最大规模攻击高出近 3 倍。
关于此漏洞的一个值得注意的问题是,攻击者能够利用仅由 20,000 个受感染系统组成的僵尸网络发起如此大规模的攻击。这比当今一些包含数十万或数百万台主机的大型僵尸网络要小得多。由于平均 Web 流量估计为每秒 10 到 30 亿个请求,因此使用此方法的攻击可以将整个 Web 的请求集中在一些毫无戒心的目标上。
1.7% 的 TLS 1.3 流量使用后量子加密
后量子是指一组新的加密技术,可以保护数据免受敌人的攻击,并能够捕获和存储当今的数据,以便将来由足够强大的量子计算机解密。Cloudflare 研究团队自 2017 年以来一直在探索后量子密码学。
2022 年 10 月,我们默认在边缘启用后量子密钥协议,但使用该协议需要浏览器的支持。Google 的 Chrome 浏览器于 2023 年 8 月开始慢慢启用支持,我们预计其支持将在 2024 年继续增长,其他浏览器也将随着时间的推移增加支持。2023 年 9 月,我们宣布针对入站和出站连接以及许多内部服务全面推出后量子加密技术,并预计在 2024 年底之前完成所有内部服务的升级。
在 8 月份首次启用支持后,Chrome 开始增加使用后量子加密技术的浏览器(版本 116 及更高版本)数量,从而实现了逐步增长,并在 11 月 8 日出现了大幅增长。正是由于这些举措,在 11 月底,使用后量子加密的 TLS 1.3 流量的比例达到了 1.7%。随着 Chrome 浏览器未来的更新,以及其他浏览器增加对后量子加密的支持,我们预计这一比例将在 2024 年继续快速增长。
欺骗性链接和勒索企图是恶意电子邮件中最常见的两类威胁。
作为排名第一的商业应用程序,电子邮件对于攻击者来说是进入企业网络的一个非常有吸引力的入口点。有针对性的恶意电子邮件可能会试图冒充合法发件人、尝试让用户点击欺骗性链接或包含危险附件以及其他类型的威胁。Cloudflare Area 1 Email Security 可保护客户免受基于电子邮件的攻击,包括通过针对性恶意电子邮件进行的攻击。2023 年,在 Cloudflare Area 1 分析的电子邮件中,平均有 2.65% 被发现是恶意的。根据每周汇总情况,2 月初、9 月初和 10 月下旬分别出现超过 3.5%、4.5% 和超过 5% 的峰值。
在使用恶意电子邮件实施攻击时,攻击者会使用各种技术,我们将其称为威胁类别。Cloudflare 的《2023 年网络钓鱼威胁报告》对这些类别进行了详细定义和探讨。对恶意电子邮件的分析表明,邮件可能包含多种类型的威胁,这凸显了对全面电子邮件安全解决方案的需求。通过探索这些类别的威胁活动趋势,我们发现,在全年按周汇总的威胁活动中,多达 80% 的邮件包含欺骗性链接。
然而,攻击者似乎在 8 月份开始转变策略,因为包含欺骗性链接的电子邮件比例开始下降,而提出勒索收件人的比例开始上升。到 10 月底和 11 月,这两类威胁的位置发生了互换,如下图右侧所示,在分析的恶意电子邮件中,近 80% 包含勒索威胁,而只有 20% 包含欺骗性链接。不过,这种勒索活动可能昙花一现,因为其比例下降的速度几乎和上升的速度一样快。身份欺骗和凭据收集也是常见的威胁,不过在这一年中发现这两种威胁的电子邮件所占比例逐渐下降。
2023 年期间,以 RPKI 有效路由份额衡量的路由安全性在全球范围内得到改善。沙特阿拉伯、阿拉伯联合酋长国和越南等国的路由安全性显著提高。
边界网关协议 (BGP) 是互联网的路由协议,用于在网络之间传递路由,使流量能够在源和目的地之间流动。然而,由于它依赖于网络之间的信任,因此对等点之间共享的不正确信息(无论是有意还是无意)都可能会将流量发送到错误的位置,从而可能产生恶意结果。资源公钥基础设施 (RPKI) 是一种签名记录的加密方法,它将 BGP 路由公告与正确的来源 AS 编号相关联。简而言之,它提供了一种方法来确保所共享的信息最初来自允许这样做的网络。(请注意,这只是实现路由安全的挑战的一半,因为网络提供商还需要验证这些签名并过滤掉无效的公告。)在美国,联邦政府认识到路由安全的重要性,联邦通信委员会于 7 月 31 日举办了“边境网关协议安全研讨会”。
Cloudflare 一直是路由安全的坚定支持者,其采取了一系列措施,包括:作为 MANRS CDN 和 Cloud Programme 的创始参与者;为网络运营商发布 RPKI 工具包;提供一个公共工具,使用户能够测试其互联网提供商是否安全地实施了 BGP;以及今年夏天在 FCC 研讨会上发表演讲。
在 Cloudflare Radar 上 7 月份发布的新路由页面的基础上,我们分析了 RIPE NCC 的 RPKI 每日存档中的数据,以确定 RPKI 有效路由(而不是那些无效或状态未知的路由公告)的份额,以及这些份额在 2023 年期间的变化情况。自今年年初以来,RPKI 有效路由的全球份额增长至近 45%,较 2022 年底上升了 6 个百分点。在国家/地区层面,我们关注的是与给定国家/地区相关的自治系统公告的路由。在美国,FCC 对路由安全的日益关注可以说是有道理的,因为只有不到三分之一的路由是 RPKI 有效的。虽然这明显好于韩国(韩国公告的路由中只有不到 1% 是 RPKI 有效的),但它明显落后于越南,越南的份额在今年上半年增加了 35 个百分点,达到 90%。
总结
在 Cloudflare Radar 2023 年度回顾中,我们试图通过趋势图和汇总统计提供动态的互联网快照,提供有关互联网流量、互联网质量和互联网安全的独特视角,以及这些领域的关键指标在世界各地的差异。
正如我们在简介中所说,我们强烈建议您访问 Cloudflare Radar 2023 年年度回顾网站,探索与关注的指标、国家/地区和行业相关的趋势,并考虑它们如何影响您的组织,以便您为 2023 年做好相应准备。
如果您有任何疑问,可以通过[email protected] 联系 Cloudflare Radar 团队,或通过社交媒体 @CloudflareRadar (X/Twitter)、cloudflare.social/@radar (Mastodon) 和 radar.cloudflare.com (Bluesky) 联系 Cloudflare Radar 团队。
致谢
正如我们去年所指出的,为我们的年度回顾提供数据、网站和内容确实需要团队的努力,在此我要感谢那些为今年的工作做出贡献的团队成员。感谢:Sabina Zejnilovic、Jorge Pacheco、Carlos Azevedo(数据科学);Arun Chintalapati、Reza Mohammady(设计);Vasco Asturiano、Nuno Pereira、Tiago Dias(前端开发);João Tomé(最受欢迎的互联网服务);以及 Davide Marquês、Paula Tavares、Celso Martinho(项目/工程管理)和无数其他同事的回答、编辑和想法。