我們在一年前發佈了第一份應用程式安全性報告。2023 年的 Security Week,我們將提供有關已緩解流量、傀儡程式與 API 流量,以及帳戶盜用攻擊等方面的更新深入解析與趨勢。
Cloudflare 在過去一年來已顯著增長。2023 年 2 月,Netcraft 注意到,Cloudflare 在 2023 年初就成為排名前一百萬網站中最常使用的 Web 伺服器廠商,而且還持續增長,市佔率從 2022 年 2 月的 19.4% 上升至 21.71%。
這個持續成長的趨勢現在等同於 Cloudflare 平秒處理超過 4500 萬個 HTTP 要求(從去年的 3200 萬上升至此),峰值高達每秒超過 6100 萬個 HTTP 要求。該網路處理的 DNS 查詢也日益增長,達到每秒約 2460 萬個查詢。所有這些流量讓我們對網際網路的趨勢有了前所未見的瞭解。
在我們深入探討之前,我們必須定義一些詞彙。
定義
在這份報告中,我們將提及以下詞彙:
- 已緩解流量:由 Cloudflare 平台套用過「終止」動作的任何瀏覽型 HTTP* 要求,包括
BLOCK、CHALLENGE、JS_CHALLENGE和MANAGED_CHALLENGE。此流量不包括套用過以下動作的要求:LOG、SKIP、ALLOW。與去年相比,我們現在會排除由 DDoS 緩解系統套用過CONNECTION_CLOSE和FORCE_CONNECTION_CLOSE動作的要求,因為這些要求在技術上只會減緩連線起始,所佔的要求比例也相對較小。此外,我們已改善有關CHALLENGE類型動作的計算,以確保僅將未解決的質詢計為已緩解。您可以在我們的開發人員文件中找到詳細的動作說明。 - 傀儡程式流量/自動化流量:任何由 Cloudflare 的傀儡程式管理系統識別為由傀儡程式產生的 HTTP* 要求,包括傀儡程式分數介於 1 至 29(含)之間的要求。這一點從去年的報告至今並未改變。
- API 流量:任何含有
XML或JSON等回應內容類型的 HTTP* 要求。其中回應內容類型(由使用者代理指定)無法用於緩解的要求,因此會改為使用同等的Accept。在後者的案例中,不會完全將 API 流量列入考量,但是在取得深入解析方面還是具有相當不錯的代表性。
除非另有說明,否則本文中評估的時間範圍為 2022 年 3 月至 2023 年 2 月的 12 個月期間。
最後要注意的是,此資料僅依據在 Cloudflare 網路中觀察到的流量來計算,不一定代表網際網路中的整體 HTTP 流量模式。
*提及 HTTP 流量時,同時意即 HTTP 和 HTTPS。
全球流量深入解析
每天平均有 6% 的 HTTP 要求得到緩解
在觀察 Cloudflare 網路代理的所有 HTTP 要求時,我們發現,緩解的要求佔比降至 6%,與去年相比降了兩個百分比。2023 年至今,我們發現,緩解的要求佔比更是降至 4% 至 5% 之間。您可在下方的表格中看到大幅激增,例如 6 月和 10 月;這些經常是與 Cloudflare 緩解的大型 DDoS 攻擊相關。值得注意的是,雖然已緩解的流量百分比長期下來已有所減少,整體已緩解的要求量卻相對穩定,如下方第二個表格所示。這代表全球整體的乾淨流量有所增加,而非純粹只是惡意流量降低。
在已緩解的 HTTP 要求中,有 81% 當場以 BLOCK 動作加以處置,對其餘要求採用的緩解則是拆分為各種 CHALLENGE 類型動作。
DDoS 緩解在所有已緩解的流量中佔比超過 50%
Cloudflare 提供多種可讓客戶設定的網路安全功能,以保護其應用程式安全。不出所料,在已緩解的第 7 層(應用程式層)HTTP 要求中,DDoS 緩解仍佔比最大。僅上個月(2023 年 2 月),我們就回報了已知規模最大的每秒 HTTP 要求量的已緩解 DDoS 攻擊(該特定攻擊並未顯示在上方圖表中,因為這些圖表並非以每日層級來彙整,而該攻擊僅持續約 5 分鐘)。
但是,與去年相比,Cloudflare WAF 進行的緩解卻大幅增長,且目前在已緩解要求中佔將近 41%。部分原因可能是,我們 WAF 技術取得了進步,因此能夠偵測和封鎖更大範圍的攻擊。
供參考的表格格式:
| 來源 | 百分比 (%) |
|---|---|
| DDoS 緩解 | 52% |
| WAF | 41% |
| IP 聲譽 | 4% |
| 存取規則 | 2% |
| 其他 | 1% |
請注意,在上方表格中,與去年相比,我們現在會對產品進行分類,以便將我們的行銷資料與 Radar 2022 年度回顧中使用的分組作比較。此方法影響到我們的 WAF 產品居多,包括 WAF 自訂規則、WAF 限速規則和 WAF 受管理規則的組合。在去年的報告中,這三個功能在緩解的流量中總計佔 31%。
若要瞭解 WAF 緩解要求的長期增長趨勢,我們再深入一層觀察就能清楚地看到,Cloudflare 客戶越來越依賴 WAF 自訂規則(過去稱為防火牆規則)來緩解惡意流量,或實作業務邏輯封鎖。請觀察下方表格中的橘色線條(firewallrules)如何逐漸增加,而藍色線條(l7ddos)顯然有降低的趨勢。
HTTP 異常是最常由 WAF 緩解的第 7 層攻擊手段
HTTP 異常在 2023 年 3 月由 WAF 受管理規則緩解的整體流量中佔 30%,與去年同時間相比降低近 25 個百分點。HTTP 異常的範例包括格式錯誤的方法名稱、標頭中有空位元組的字元、非標準連接埠,或是含有 POST 要求且長度為 0 的內容。這可能是因為比對 HTTP 異常簽章的殭屍網路緩慢地變更了其流量模式。
將 HTTP 異常的線條從圖表中移除後,我們可以看到,在 2023 年年初,攻擊手段的分布均衡許多。
供參考的表格格式(前 10 大類別):
| 來源 | 百分比(過去 12 個月) |
|---|---|
| HTTP 異常 | 30% |
| 目錄周遊 | 16% |
| SQLi | 14% |
| 檔案包含 | 12% |
| 軟體特定 | 10% |
| XSS | 9% |
| 驗證受損 | 3% |
| 命令資料隱碼 | 3% |
| 常見的攻擊 | 1% |
| CVE | 1% |
請特別注意接近 2023 年 2 月底出現的橘色線條峰值(CVE 類別)。該峰值與我們的兩個 WAF 受管理規則突然增加有關:
- Drupal - Anomaly:Header:X-Forwarded-For (id:
d6f6d394cb01400284cfb7971e7aed1e) - Drupal - Anomaly:Header:X-Forwarded-Host (id:
d9aeff22f1024655937e5b033a61fbc5)
這兩項規則也依據 CVE-2018-14774 進行標記;表示即使相對較舊且已知的漏洞,仍然經常成為目標,用於入侵可能未修補的軟體。
傀儡程式流量深入解析
在過去十二個月間,對 Cloudflare 的傀儡程式管理解決方案進行大幅的投入。各項新功能,例如可設定的啟發學習法、強化的 JavaScript 偵測、自動機器學習模型更新,以及 Cloudflare 免費提供以取代 CAPTCHA 的 Turnstile,讓我們對人類與傀儡程式流量的分類日益改善。
我們對分類輸出充滿信心。如果我們繪製 2023 年 2 月最後一週起流量間的傀儡程式分數,就會發現一個非常清楚的分佈,其中大部分要求歸類為絕對傀儡程式(不到 30)或絕對人類(大於 80),而且大部分要求的得分實際上小於 2 或大於 95。
30% 的 HTTP 流量是自動化流量
在 2023 年 2 月的最後一週期間,有 30% 的 Cloudflare HTTP 流量歸類為自動化流量,等同於 Cloudflare 網路上每秒大約 1300 萬個 HTTP 要求。這與去年相同時間相比降低了 8 個百分點。
如果只觀察傀儡程式流量,我們發現,只有 8% 由已驗證的傀儡程式產生,佔總流量的 2%。Cloudflare 會維護已知善意(已驗證)的傀儡程式清單,以允許客戶輕鬆分辨出行為良好的傀儡程式提供者(例如 Google 和 Facebook)或可能較不知名或不需要的傀儡程式。目前清單中有 171 個傀儡程式。
16% 未驗證的傀儡程式 HTTP 流量得到緩解
未驗證的傀儡程式流量通常包括持續尋找機會入侵網路的漏洞掃描程式;因此:由於部分客戶偏好限制此類工具可能取得的深入解析,此流量有近六分之一獲得緩解。
雖然已驗證的傀儡程式(例如 Googlebot 和 Bingbot)通常被視為有益,且多數客戶希望加以允許,但我們也發現有一小部分(1.5%)的已驗證傀儡程式流量得到緩解。這是因為部分網站管理員不希望其網站某些部分遭遇網路爬蟲,而客戶經常會依賴 WAF 自訂規則來強制執行此業務邏輯。
客戶最常採取的是以 BLOCK 動作來處理這些要求 (13%),但我們也有一些客戶設定 CHALLENGE 動作 (3%),來確保任何人類誤判仍然可在必要時完成要求。
同樣有趣的是,在所有已緩解的流量中,有將近 80% 分類為傀儡程式,如下方圖表所示。有些人可能會注意到,已緩解流量中有 20% 歸類為人類流量仍然很高,但大部分的人類流量緩解由 WAF 自訂規則產生,而且經常是因為客戶在其應用程式上實作了國家/地區層級或其他相關的合法封鎖。舉例來說,在總部設於美國的公司基於 GDPR 法規原因而封鎖對歐洲使用者存取權限的情況下,這樣相當常見。
API 流量深入解析
55% 的動態(非快取)流量與 API 相關
如同我們的傀儡程式管理解決方案一樣,我們也在工具方面進行了大量投入,以保護 API 端點。這是因為許多 HTTP 流量與 API 相關。事實上,如果您僅計算抵達原點且非快取的 HTTP 要求,高達 55% 的流量與 API 相關(依據先前說明的定義)。這個方法學與去年報告中使用的相同,且年增率 55% 的數據也保持不變。
如果我們只觀察快取的 HTTP 要求(快取狀態為 HIT、UPDATING、REVALIDATED 和 EXPIRED 的要求),我們發現可能出乎意料的一點是,近 7% 與 API 相關。事實上,現代 API 端點實作和代理系統(包括我們自己的 API 閘道/快取功能集)容許非常靈活的快取邏輯,允許進行自訂金鑰上的快取以及快速快取重新驗證(頻率為每秒),讓開發人員能夠降低後端端點上的負載。
包括可快取資產和總計數中的其他要求在內(例如重新導向),數據有所下降,但仍佔流量的 25%。在下方圖表中,我們提供有關 API 流量的兩種觀點:
- 黃色線條:與所有 HTTP 要求對照的 API 流量百分比。這也會包括重新導向、快取的資產和總計數中所有其他 HTTP 要求;
- 藍色線條:與僅傳回 HTTP 200 OK 回應代碼之動態流量對照的 API 流量百分比;
65% 的全球 API 流量是由瀏覽器產生
如今,越來越多的 Web 應用程式以「API 優先」的方式建立。這表示初始 HTML 頁面只會提供架構版面,而且多數的動態元件和資料透過單獨的 API 呼叫(例如 AJAX)載入。Cloudflare 自有的儀表板就是這種情形。在分析 API 流量的傀儡程式分數時,就會看到這種日益漸增的實作範例。我們可以在下方的圖表中看到,大量的 API 流量由使用者驅動的瀏覽器(我們的系統會將其歸類為「人類」)產生,且其中有將近三分之二集中在「人類」範圍的尖端處。
計算已緩解的 API 流量極具挑戰性,因為我們不會將要求轉送至原點伺服器,因此無法依賴回應內容類型。套用與去年使用的相同計算方式之後,得到緩解的 API 流量從去年的 10.2% 降至略高於 2%。
HTTP 異常超越 SQLi,成為 API 端點上最常見的攻擊手段
與去年相比,HTTP 異常現在已超越 SQLi,成為針對 API 端點最常見的攻擊手段(請注意,藍色線條在圖表的開始處偏高,時間正好是去年的報告發佈時)。對 API 流量的攻擊手段並非全年都很一致,而且與全球的 HTTP 流量相比顯示出更多的變化。例如,請注意 2023 年初的檔案包含攻擊手法激增。
探索帳戶盜用攻擊
自 2021 年 3 月起,Cloudflare 便在其 WAF 中提供一種外洩憑證檢查功能 。此功能可讓客戶在偵測到使用已知外洩的使用者名稱/密碼對進行驗證要求時收到通知(透過 HTTP 要求標頭)。這在偵測執行帳戶盜用暴力破解攻擊的殭屍網路時,往往是極為有效的訊號。
客戶也會對有效的使用者名稱/密碼對登入嘗試使用此訊號,以核發雙重驗證、密碼重設,或在某些情況下,如果使用者並非憑證的合法擁有者,則會提高記錄。
暴力破解帳戶盜用攻擊越來越多
如果我們觀察過去 12 個月相符的要求趨勢,會發現 2022 年下半年開始時顯著增加,表示對登入端點的詐騙活動有所增加。在大型的暴力破解攻擊期間,我們觀察到使用外洩憑證對 HTTP 要求進行攻擊的相符項目,每分鐘的比例高於 12000 個。
我們的外洩憑證檢查功能對於以下系統具有比對驗證要求的規則:
- Drupal
- Ghost
- Joomla
- Magento
- Plone
- WordPress
- Microsoft Exchange
- 比對常見驗證端點格式的一般規則
這可讓我們比較來自惡意執行者的活動,通常是以殭屍網路的形式,嘗試「強行進入」可能遭入侵的帳戶。
Microsoft Exchange 遭受攻擊的次數比 WordPress 多
在很大程度上由於其熱門程度,您可能會以為 WordPress 是最常暴露在風險中及/或觀察到最多暴力破解帳戶盜用流量的應用程式。但是,觀察來自上列支援系統的規則比對之後,我們發現除了一般簽章以外,Microsoft Exchange 簽章是最常出現的相符項目。
大部分經歷過暴力破解攻擊的應用程式往往擁有較高價值的資產,而根據我們的資料所反映出的趨勢,Exchange 帳戶是最可能受到攻擊的目標。
如果我們依照來源國家/地區來觀察外洩的憑證相符流量,美國領先的幅度相當大。可能值得注意的是,將網路規模列入考量時,中國並未名列在主要競爭者當中。唯一的例外是,烏克蘭在 2022 年上半年期間到戰爭開始時,都處於領先地位;如下方圖中的黃色線條所示。
未來展望
由 Cloudflare 執行的 Web 流量數量來看,我們觀察到廣泛幅度的攻擊。從 HTTP 異常、SQL 資料隱碼攻擊和跨網站指令碼(XSS),到帳戶盜用手法以及惡意傀儡程式,威脅情勢不斷地在改變。因此,關鍵在於任何在線上營運的企業都必須投資在可見度、偵測與緩解技術,才能夠確保其應用程式(以及更重要的,終點使用者資料)安全無虞。
希望您認為這份報告中的發現很有趣,至少讓您對網際網路上應用程式安全性的狀態有正面評價。網路上有許多惡意執行者,而且沒有跡象顯示網際網路安全會越來越容易維護。
我們已經在規劃此報告的更新內容,包括對我們產品組合方面的額外資料與深入解析。請隨時關注 Cloudflare Radar,以取得更多經常性地應用程式安全性報告與深入解析。