訂閱以接收新文章的通知:

對第三方連線竄改的全球評估

2024-09-05

閱讀時間:19 分鐘
本貼文還提供以下語言版本:English简体中文

您是否有過這樣的經歷:打了個電話,剛接通,電話就被切斷了,並沒有什麼確切的原因或解釋?讓我們以這個類比為起點,來瞭解網際網路上的連線竄改及其影響。 

我們發現,20% 的網際網路連線會在交換任何有用資料之前突然關閉。基本上,每五個電話中就有一個在使用前被切斷。對於電話通話,通話的一方或雙方可能很難知道到底發生了什麼。是連線出現了錯誤嗎?還是電話那頭的人掛了電話?或者是有第三方介入並阻止了通話?

在網際網路上,Cloudflare 具有獨特的優勢,可以幫助確定第三方何時可能參與其中。我們的全球網路讓我們能夠識別一些模式,表明可能有外部方故意竄改連線以阻止存取內容。儘管這些模式通常很難破譯,但連線突然關閉的方式為可能發生的情況提供了線索。竄改來源通常不會試圖隱藏其行為,這為它們的存在留下了線索,我們可以使用這些線索來識別連線通訊協定中可偵測到的「簽章」。正如我們在下文中解釋的那樣,還有其他不太可能被欺騙的通訊協定功能,它們指向第三方行為。我們可以使用這些提示來構建可以識別的連線竄改簽章模式。

需要明確的是,第三方竄改連線的原因有很多。企業可能會竄改其網路的輸出連線,以防止使用者與垃圾郵件或網路釣魚網站互動。ISP 可能會利用連線竄改來執行法院或監管機構的命令,這些命令要求透過封鎖網站來解決版權侵權問題或用於其他法律目的。政府可能會強制實施大規模的審查和資訊控制。 

儘管這種情況人人皆知,但之前沒有其他大型公司研究過大規模和跨司法管轄區的連線竄改活動。我們認為,這造成了一個顯著的缺口,妨礙人們理解網際網路生態系統中正在發生的事情,而揭露這些行為對於網際網路的透明度和長期健康至關重要。因此,今天,我們很榮幸與大家分享對全球連線竄改行為的看法。

完整的技術細節最近經過同行評審,並在 ACM SIGCOMM 的「全球連線竄改被動偵測」中公開發表。我們還宣佈在 Cloudflare Radar 上推出新的儀表板API,可近乎即時地查看具體連線逾時和重設事件——這兩種機制是全球使用者連線到 Cloudflare 網路時遇到的竄改的主要機制。

瞭解連線竄改的性質以及我們討論它的原因將有助於您更好地理解我們的觀點。

為全球受眾提供全球深入解析

連線竄改的跡象在全球網路中隨處可見。我們最初感到震驚的是,在全球範圍內,前往 Cloudflare 的連線中,大約 20% 的連線在進行任何有用資料交換之前就意外關閉了,這與連線竄改的比例一致。下面是 Cloudflare 所觀察到的這些異常連線的快照,我們會在 Radar 上分享

2544-2

透過 Cloudflare Radar

這些並非全部都是竄改,但其中一部分顯然是竄改,下面將詳細介紹。挑戰在於篩選掉這些干擾資訊,確定哪些異常連線可以肯定地歸因於竄改。

宏觀層面的分析和驗證

我們的工作中,我們確定了 19 種異常連線模式,作為連線竄改的候選簽章。我們發現其中的 14 種模式,之前曾被主動的「實地」測量工作報告過,這為宏觀層面的驗證提供了機會:如果我們在其他人實地觀察到的相同位置觀察到來自 Cloudflare 網路的竄改簽章,那麼我們可以更加確信,對於之前沒有報告過的其他地方,這些簽章也能捕捉到連線竄改的真實案例。為了減輕在已知存在竄改的地方進行查看而產生的確認偏差風險,我們決定同時查看所有地方。

採用這種方法,下圖取自我們的同行評審研究,是對 19 個簽章的直觀並排比較。資料取自 2023 年 1 月 26 日開始的兩周間隔。每個簽章欄中都有按連線來源國家/地區細分的匹配連線比例。例如,右邊第三欄標有 ⟨PSH → RST;RST0⟩,表示我們幾乎只在來自中國的連線上觀察到該簽章。總體而言,我們的發現反映了先前公開的報告中的已知案例,這表明我們的方法有效。

2544-3

圖 1:跨國家/地區的簽章匹配:每一欄是與特定簽章匹配的全球總連線數。每一欄內部,是來自各個國家/地區的連線中與該簽章匹配的連線比例。

有趣的是,透過深入研究普遍性,並拋開簽章匹配的原始數量,有趣的模式就顯現出來了。由於這種資料驅動的視角,還帶來了意想不到的宏觀見解。如果我們關注按網際網路使用者數量排名全球前三的國家/地區,可以發現,來自中國的連線在至少 9 個簽章中佔據了相當大的比例。這也許並不令人驚訝,但為之前的研究提供了支援,這些研究發現,中國防火長城 (GFW) 由封鎖命令的許多不同部署和實作組成。接下來,來自印度的連線匹配也在 9 個不同簽章中佔據了相當大的比例,其中 5 個與中國匹配率很高的簽章相同。看看人口第三多的美國,除了兩個簽章外,所有簽章中都出現了明顯(甚至較大)的匹配比例。

以下是部分國家/地區簽章分佈情況的快照,該快照也是從同行評審研究中獲取的。全球分佈情況也包含在內,以供比較。為了完整性,我們也包含了標記為 ⟨SYN → ∅⟩ 的深灰色部分,但與其他部分相比,這一部分更有可能用竄改之外的其他原因來解釋(例如,由於低速率 SYN 洪水攻擊)。

2544-4

圖 4:每個國家/地區的簽章分佈:來自特定國家/地區(以及全球)的與特定簽章匹配或未被竄改的連線百分比。

從這個角度來看,我們觀察到的模式再次與先前的研究相符。我們首先關注高於全球平均水準的比例,並忽略中灰色中干擾最大的特徵 ⟨SYN → ∅⟩;在這個最早的階段,簽章匹配有太多其他解釋。在來自土庫曼斯坦 (TM)、俄羅斯 (RU)、伊朗 (IR) 和中國 (CN) 的所有連線中,大約 80%、30%、40% 和 30% 的連線與竄改簽章相匹配。資料還顯示,在之前沒有報告的地方,簽章匹配率很高。例如,來自秘魯 (PE) 和墨西哥 (MX) 的連線匹配率分別約為 50% 和 25%;對這些國家/地區各個網路的分析表明,一個可能的原因是行動和蜂巢式網路中的零費率,即 ISP 允許免費存取某些資源(但不允許免費存取其他資源)。看看全球平均水準以下的國家,英國 (GB)、美國 (US) 和德國 (DE) 匹配簽章的連線數均在 10% 左右。

資料表明,連線竄改現象十分普遍,離很多使用者(甚至大多數使用者)都很近。從很多方面來看,這種現象比大多數人想像的還要近。為了解釋其中的原因,我們使用電話這種非常熟悉的通訊工具來解釋連線竄改現象。

使用電話通話解釋竄改

連線竄改是第三方阻止存取特定內容的一種方式。但是,第三方僅僅知道它想要封鎖的內容類型是不夠的。第三方只能透過名稱來封鎖身分。

歸根結底,連線竄改是因意外才有可能發生的——這是通訊協定設計的一個意外副作用。在網際網路上,最常見的身分是網域名稱。在網際網路上的通訊中,網域名稱通常在 TLS 中的「伺服器名稱指示 (SNI)」欄位中傳輸——以純文字形式公開給所有人查看。

要理解這一點的重要性,首先要瞭解在沒有網際網路的情況下,人與人之間的通訊中連線竄改是什麼樣子的。網際網路本身的外觀和運作方式與郵政系統非常相似,後者只依賴地址,而不依賴姓名。然而,大多數人使用網際網路的方式更像「普通的老式電話系統」,它需要姓名才能成功。

在電話系統中,人們首先撥打的是電話號碼,而不是稱呼姓名。只有在對方接聽並且呼叫者聽到聲音後,呼叫才會接通並可用。呼叫者只有在接通才會詢問姓名。呼叫在系統中表現為未標識通訊方的能量訊號。最後,在通話結束後,需要重新撥打電話才能再次進行通訊。

在網際網路上,用戶端(例如瀏覽器)會「建立連線」。這與電話呼叫者非常相似,用戶端向伺服器號碼(即 IP 位址)發起連線請求。用於連線兩個裝置的最古老的「連線導向」通訊協定稱為傳輸控制通訊協定 (TCP)。網域名稱的傳輸與連線建立無關,就像接聽電話後再詢問姓名一樣。連線由中繼資料「邏輯」標識,而中繼資料並不標識通訊方。最後,每次存取網站時都會建立新的連線。

2544-5

TCP 連線與電話通話的比較

如果電話公司被要求阻止與某一方通話,會發生什麼情況?一種選擇是修改或操縱電話簿,使呼叫者無法獲得他們撥打電話所需的電話號碼;這就是 DNS 篩選的本質。第二種選擇是封鎖對該電話號碼的所有呼叫,但這會無意中影響其他人,就像 IP 封鎖那樣。

一旦電話響起,電話公司要知道正在呼叫,唯一的辦法就是監聽通話,等待呼叫者說「某某在嗎?」或「我可以和某某通話嗎?」。行動電話也不例外。我們打給某個號碼,所找的那個人會接電話,這只是一種期望,而並非現實。例如,父母可能會把號碼給自己的孩子,或者計程車公司可能會留下值班人員的行動電話。因此,電話公司必須監聽。一旦聽到某個名字,它就可以掛斷電話;雙方都不知道發生了什麼——這就是網際網路連線竄改的定義。

就建立通訊管道而言,電話呼叫和 TCP 連線至少是相當的,甚至可以說完全相同——尤其是因為網域名稱的傳輸是與建立連線分開的。

同樣,在網際網路上,第三方瞭解連線的預期接收者的唯一方法是「查看」封包傳輸時的內部情況。電話公司必須監聽姓名,而網際網路上的第三方則等待看到它不喜歡的東西,通常是禁用的名稱。回想一下上面所說的通訊協定的意外副作用:名稱在 SNI 中可見,而 SNI 是幫助加密資料通訊所必需的。當發生這種情況時,第三方會透過捨棄訊息或插入特製的訊息來導致通訊雙方中止連線,從而使一個或兩個裝置關閉連線。

觸發竄改的機制始于深度封包偵測 (DPI),這意味著查看位址以外的資料部分以及屬於連線的其他中繼資料。可以肯定地說,此功能不是免費的。無論是 ISP 的路由器還是上級代理,DPI 都是一項昂貴的操作,而且規模越大或速度越快,成本就越高。

最後值得一提的是,電話竄改的弱點同樣出現在連線竄改中。例如,儘管寫起來不同,但 Jean 和 Gene 的讀音對任何人來說都無法區分。同樣,竄改 Twitter 的簡稱「t.co」的連線也會影響「microsoft.com」——這種情況已經發生了。

瑪莎·艾米尼 (Mahsa Amini) 抗議期間的竄改即時檢視

在深入探討技術之前,Cloudflare 的許多員工還有一個個人動機。透明度很重要,這也是我們開始這項工作的原因,但在看到 2022 年伊朗瑪莎·艾米尼抗議期間的資料後,我們才在內部承諾在 Radar 上分享資料。

下圖是抗議活動期間 17 天內來自伊朗的連線情況。圖表追蹤了異常連線的單個訊號,包括不同類型的連線竄改簽章。這些資料的日期早於 Radar 服務,因此我們選擇分享同行評審論文中的這一表示。這也是透過 Radar 分享資料的價值的第一個範例。

2544-6

圖 8:全國抗議期間伊朗的簽章匹配率。(𝑥 軸是當地時間。)

從資料中,有兩個觀察結果引人注目。首先,抗議活動開始前線條似乎很穩定,抗議活動開始後線條數量增加。其次,隨著時間的推移,線條之間發生變化,特別是淺灰色、深紫色和深綠色的線條。回想一下,每條線都是不同的竄改簽章,因此線條之間的變化表明了根本原因的變化——要麼是起作用的機制,要麼是叫用它們的流量。

我們強調,簽章匹配本身並不意味著存在竄改。然而,在 2022 年伊朗的案例中,有公開報導稱其採取了各種形式的封鎖。當時使用的方法,特別是基於伺服器名稱指示 (SNI) 的內容存取封鎖,之前也已得到充分記錄,並且與我們上圖所示的觀察結果相符。

那今天呢?下面我們可以看到從 2023 年 8 月到 2024 年 8 月的十二個月 Radar 檢視。每種顏色代表可能發生竄改的連線的不同階段。在過去的 12 個月中,伊朗的 TCP 連線異常總體上低於全球平均水準,但在淺藍色區域表示的異常部分中似乎明顯更高。此「Post ACK」通訊階段通常與基於 SNI 的封鎖有關。(在上圖中,相關簽章由深紫色和深綠色線表示。)此外,自 2023 年 12 月中旬以來不同情節線的比例變化表明,技術一直在隨著時間的推移而變化。

2544-7

透過 Cloudflare Radar

開放式網路測量社群的重要性

作為開放式測量和研究社群重要性的證明,這項工作確實「站在巨人的肩膀上」。它是與馬利蘭大學洛桑聯邦理工學院密西根大學的研究人員合作完成的,但並非孤立存在。人們已經付出了大量的努力來測量連線竄改,其中大部分來自審查測量社群。大部分工作由主動測量構成,研究人員在網路和區域內或沿網路和區域製作和傳輸探查,以識別封鎖行為。毫無疑問,主動測量既有優點也有缺點,如論文第 2 節所述。

與主動測量相對應的是被動測量,也是我們專案的重點,它採用「觀察而不採取任何行動」的方法。被動測量有其自身的優點和缺點,但至關重要的是,它依賴於擁有良好的有利位置,例如大型網路營運商。主動和被動測量在結合使用時最有效,在本文所討論的情況中,有助於更全面地瞭解連線竄改對使用者的影響。

最重要的是,在進行任何類型的測量時,都必須非常小心地瞭解和評估測量的安全性,因為對人員和網路施加的風險通常是間接的或隱藏的。

我們資料的局限性

我們毫不懷疑對連線竄改保持透明的重要性,但我們也需要明確從資料中獲取的見解的局限性。作為 Cloudflare 網路(且僅限 Cloudflare 網路)連線的被動觀察者,我們只能看到或推斷以下內容:

  1. 連線被竄改的跡象,但不知道發生的位置。用戶端應用程式和伺服器系統之間的任何軟體或裝置都可能竄改連線。這個範圍涵蓋專用系統、企業或家庭寬頻路由器中的防火牆,以及安裝在家庭或學校電腦上的保護軟體。我們所能推斷的只是連線的起始位置(儘管這受限於網際網路設計固有的地理位置不準確性)

  2. 通常,但並非總是)是什麼觸發了竄改,但不知道原因。通常,竄改系統由網域名稱、關鍵字或規則運算式觸發。透過足夠的重複和手動檢查,可能可以識別出竄改的可能起因,但無法識別原因。許多竄改系統設計容易產生意想不到的後果,上面提到的 t.co 範例就是其中之一。

  3. 確實受影響的人和事,但不包括可能受影響的人和事。作為被動觀察者,我們能做出的推斷種類有限。例如,在 1001 個與 example.com 的連線中,有 1000 個可觀察到竄改,這表明下一次連線嘗試也可能發生竄改。然而,這並沒有說明與 another-example.com 的連線相關的任何資訊。

資料,資料,資料:從干擾資訊中提取訊號

如果您只是想獲取和使用 Radar 上的資料,請參閱我們的「操作方法」指南。若想要瞭解更多,那讓我們來瞭解一下資料本身。

這項工作的重點是 TCP。在我們的資料中,第三方可以使用兩種機制來強制關閉連線:捨棄封包以引起逾時,或插入偽造的 TCP RST 封包,每種機制都有各種部署選擇。個別竄改簽章可能反映了這些選擇。需要瞭解的是,正常的 TCP 關閉是使用 FIN 封包啟動的。

連線篡改簽章

我們的偵測機制會根據一組簽章來評估連線中的封包集,以判斷是否存在連線竄改。這些簽章是根據之前工作中識別出的簽章手工產生的,並透過分析我們歸類為異常(即提前關閉的連線,以及在用戶端發出不到 10 個封包時,以 RST 封包或逾時的方式不合時宜地關閉的連線)的 Cloudflare 網路連線樣本產生的。我們分析了這些樣本,發現 19 種模式占樣本中所有可能被竄改的連線的 86.9%,如下表所示。

2544-8

表 1:我們透過全球被動測量識別的一組竄改簽章。

為了幫助推斷竄改情況,我們還根據上述 19 個簽章出現的連線生命週期階段對其進行了分類。每個階段都暗示了有關中間件的一些資訊,如下所述,並附有相應的序列圖:

2544-9
2544-10

  • (a) Post-SYN(交握期間):竄改可能由目標 IP 位址觸發,因為中間件可能沒有看到應用程式資料(資料通常在交握完成後傳輸)。

  • (b) Post-ACK(交握後立即):連線建立後立即被強制關閉,未看到任何資料。中間件甚至很可能已經看到了封包;例如 HTTP 中的主機標頭或 TLS 中的 SNI 欄位。

  • (c) Post-PSH(第一個封包之後):中間件肯定已經看到第一個封包,因為伺服器已經接收到它。中間件可能一直在等待帶有 PSH 標誌的封包,該標誌通常設定為指示封包中的資料應在收到後立即傳送給應用程式,不得延遲。這裡的中間件可能是旁觀者攻擊 (monster-on-the-side),因為它允許有問題的封包到達目的地。

  • (d) 流程後期(多個封包後):在連線的後期竄改(不是緊接在第一個封包之後,但仍在前 10 個封包內)。TLS 中加密資料的普遍性使得這一階段成為最不容易發生竄改的階段。可能的觸發因素是在 (HTTP) 連線後期以純文字形式出現的關鍵字,或者企業代理和家長保護軟體之類的產品。這些軟體可以查看加密流量,並在遇到某些關鍵字時重設連線。

考慮其他解釋

我們如何確信上述簽章能夠偵測到中間件竄改,而不僅僅是非典型的用戶端行為?被動測量的一個挑戰是我們無法完全瞭解連線到我們網路的用戶端,因此很難(甚至不可能)獲得絕對肯定的結果。我們會尋找強有力的竄改證據,而這必須首先從識別誤判開始。 

我們知道以下誤判來源很難與真正的竄改來源區分開來。除最後一個之外,其他所有誤判都發生在連線的前兩個階段,即在接收封包之前。

  • 掃描程式是用戶端應用程式,用於探查伺服器以引出回應。一些掃描程式軟體使用標頭中的固定位元進行自我識別,這有助於我們進行篩選。例如,我們發現 Zmap 約占所有 ⟨SYN → RST⟩ 簽章匹配的 1%。

  • SYN 洪水攻擊是另一個可能的誤判來源,尤其是對於 Post-SYN 連線階段的簽章,例如 ⟨SYN → ∅⟩ 和 ⟨SYN → RST⟩ 簽章。這些不太可能出現在我們的資料集收集中,資料集收集發生在 DDoS 防護系統之後

  • Happy Eyeballs 是雙棧用戶端常用的一種技術,用戶端會發起與伺服器的 IPv6 連線,並在延遲一段時間以支援 IPv6 後,再建立 IPv4 連線。用戶端會保留第一個成功的連線並丟棄另一個。停止傳輸或使用 RST 而非 FIN 關閉連線的用戶端會顯示在資料中,與 ⟨SYN → RST⟩ 簽章相匹配。

  • 瀏覽器觸發的 RST 可能出現在連線的任何階段,但尤其適用於在連線後期(多個封包之後)匹配的簽章。例如,它可能由使用者關閉瀏覽器索引標簽觸發。然而,與有針對性的竄改不同,源自瀏覽器的 RST 不太可能偏向特定服務或網站。

我們如何區分合法用戶端發起的誤判和第三方竄改?我們尋求一種基於證據的方法來區分竄改簽章和資料集內的其他訊號。為此,我們要利用封包標頭中的各個位元。

簽章驗證——讓資料說話

單獨的簽章匹配不足以做出正確的判斷。與此同時,我們可以透過檢查總體連線來找到進一步支援其準確性的證據——如果原因是竄改,並且竄改是有針對性的,那麼一定還有其他共同的模式或標記。例如,我們預計瀏覽器行為會出現在世界各地;然而,正如我們上面所展示的,僅在某些地方或某些時間間隔與連線匹配的簽章就會凸顯出來。 

類似地,我們期望連線內連續封包中的某些特徵也能凸顯出來,事實上它們也確實如此,即 IP 標頭中的 IP-IDTTL 欄位。

2544-11

IPv4 封包標頭中的 IP-ID(IP 標識)欄位通常是每個連線的固定值,通常由用戶端針對其傳送的每個後續封包進行遞增。換句話說,我們預計從同一用戶端傳送的後續封包中 IP-ID 值的變化很小。因此,在正常連線中,後續封包之間 IP-ID 值的大幅變化是意料之外的,可以用作封包插入的指標。這正是我們在標記為 (a) 的上圖中看到的一組選定簽章的情況。

存留時間 (TTL) 欄位為偵測注入的封包提供了另一個線索。同樣,大多數用戶端實作也對連線上傳送的每個封包使用相同的 TTL,通常最初設定為 64 或 128,並由封包路由上的每個路由器遞減。如果 RST 封包的 TTL 與連線中的其他封包不相同,則表明它是插入的。請看上圖 (b),我們可以看到 TTL 的明顯差異,表明存在第三方。

我們強烈建議讀者閱讀這些內容背後的詳細資料,瞭解它們的意義和原因。IP-ID 和 TTL 最大差值較大的連線為流量竄改提供了積極證據,但沒有這些訊號並不一定意味著沒有發生竄改,因為眾所周知,一些中間件會從連線中的原始封包中複製 IP 標頭值,包括 IP-ID 和 TTL。我們的重點在於負責任地確保我們的資料集具有指示價值。

最後還有一點需要注意:雖然我們的竄改簽章可以擷取多種形式的竄改,但仍有可能出現漏報,即連線已被竄改但未被我們偵測到。一些範例是在前 10 個封包之後終止的連線(因為我們並沒有對這一部分進行採樣)、FIN 插入(RST 插入的不太常見的替代方案)或所有封包在到達 Cloudflare 伺服器之前被丟棄的連線。我們的簽章也不適用於基於 UDP 的通訊協定,例如 QUIC。我們希望將來擴大連線竄改簽章的範圍。

案例研究

為了瞭解這在 Cloudflare 網路上的表現,下面我們提供了與連線竄改的 OONI 報告一致的 TCP 連線異常的更多範例。

如需瞭解此項研究的更多見解,請參閱完整的技術論文簡報。對於下文未列出的其他地區和網路,請參閱 Radar 上的新資料

巴基斯坦

來自巴基斯坦內部的報告顯示,2024 年 8 月使用者的網際網路體驗發生了變化。看一下 8 月初的兩個星期時間,從 2024 年 8 月 9 日開始,Post-ACK 連線異常發生了顯著變化。

2544-12

透過 Cloudflare Radar

8 月 9 日的 Post-ACK 峰值幾乎完全歸因於 AS56167 (Pak Telecom Mobile Limited),如下面第一張圖所示,其中 Post-ACK 異常從對於所有連線不足 5%,躍升至 70% 以上,並且此後一直保持高位。相應地,我們看到從 AS56167 中的用戶端到達 Cloudflare 網路的成功 HTTP 請求數量顯著減少(如下面第二張圖所示),這證明連線正在中斷。這個巴基斯坦的範例強調了確鑿報告和觀察結果的重要性,在 Radar 資料集發佈中對此進行了更詳細的討論。

2544-13

透過 Cloudflare Radar

2544-14

透過 Cloudflare Radar

坦尚尼亞

2024 年 4 月的 OONI 報告討論了坦尚尼亞的有針對性的連線竄改行為。報告指出,在用戶端觀察到這種封鎖,因為在 TLS 交握期間的 Client Hello 訊息之後連線逾時,這表明中間件正在捨棄包含 Client Hello 訊息的封包。在伺服器端,以這種方式被竄改的連線將顯示為 Post-ACK 逾時,因為包含 Client Hello 訊息的 PSH 封包永遠不會到達伺服器。

查看下面淺藍色部分中表示的 Post-ACK 資料,我們發現了匹配的證據:來自坦尚尼亞的所有新 TCP 連線中,近 30% 都顯示為 Post-ACK 異常。進一步細分(下圖中未顯示),大約三分之一是由於逾時,與上面的 OONI 報告一致。其餘部分是由於 RST。

2544-15

透過 Cloudflare Radar

衣索比亞

衣索比亞是另一個之前報告過連線竄改的地區。與此一致,我們發現衣索比亞網路中 Post-PSH TCP 異常的發生率較高。我們的內部資料顯示,這裡的大多數 Post-PSH 異常都是由 RST 引起的,不過逾時也很普遍。

2544-16

透過 Cloudflare Radar

從位於衣索比亞的 IP 位址到達 Cloudflare 伺服器的流量大部分來自 AS24757 (Ethio Telecom),如下面第一張圖所示,因此其資料與全國範圍內的連線異常分佈非常吻合也就不足為奇了。來自 AS328988 (SAFARICOM TELECOMMUNICATIONS ETHIOPIA PLC) 的 Post-PSH 連線數量(如下面第二張圖所示)的比例更高,占該網路所有連線的 33% 以上。

2544-17

透過 Cloudflare Radar

透過 Cloudflare Radar

反思現在,以促進有韌性的未來

連線竄改是一種以各種形式部署在網際網路上的封鎖機制。儘管我們已經開發出各種方法來幫助在全球範圍內偵測和瞭解這種行為,但這種體驗就像電話中斷一樣,因人而異。

連線竄改也可能因意外而發生。之所以能成功,是因為網域名稱以純文字形式可見。但情況可能並非總是如此。例如,Encrypted Client Hello (ECH) 是一種加密 SNI 欄位的新興構建塊。

我們將繼續尋找討論網路活動和中斷的方法,以促進更廣泛的對話。請查看 Cloudflare Radar 上有關連線異常的最新內容和相應的部落格文章,以及同行評審技術論文及其 15 分鐘的總結演講

我們保護整個企業網路,協助客戶有效地建置網際網路規模的應用程式,加速任何網站或網際網路應用程式抵禦 DDoS 攻擊,阻止駭客入侵,並且可以協助您實現 Zero Trust

從任何裝置造訪 1.1.1.1,即可開始使用我們的免費應用程式,讓您的網際網路更快速、更安全。

若要進一步瞭解我們協助打造更好的網際網路的使命,請從這裡開始。如果您正在尋找新的職業方向,請查看我們的職缺
Cloudflare RadarInternet TrafficInternet QualityResearchTrendsConsumer Services

在 X 上進行關注

Ram Sundara Raman|ramakrishnan13s
Luke Valenta|@lukevalenta
Marwan Fayed|@marwanfayed
Cloudflare|@cloudflare

相關貼文

2024年11月20日 下午10:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...