2023 年 Cloudflare Radar 年度回顧是我們對全年在全球和國家/地區層面觀察到的各種指標的網際網路趨勢和模式進行的第四次年度回顧。下面,我們將概述主要研究結果,並在隨後的章節中進行更詳細的探討。
主要調查結果
流量洞察和趨勢
- 全球網際網路流量增長了 25%,與 2022 年的增長峰值保持一致。重大節假日、惡劣天氣和有意關閉明顯影響了網際網路流量。 🔗
- Google 再次成為最受歡迎的通用網際網路服務,2021 年的領頭羊 TikTok 跌至第四位。OpenAI 是新興的產生式 AI 類別中最受歡迎的服務,Binance 仍然是最受歡迎的加密貨幣服務。 🔗
- 在全球範圍內,超過三分之二的行動裝置流量來自 Android 裝置。在超過 25 個國家/地區中,Android 在行動裝置流量中所占的份額超過 90%;iOS 行動裝置流量的峰值份額為 66%。🔗
- 2023 年,Starlink(星鏈計畫)的全球流量增長了近兩倍。2022 年年中在巴西啟動服務後,2023 年來自該國的 Starlink 流量增長了 17 倍多。🔗
- Google Analytics、React 和 HubSpot 是頂級網站最常用的技術。🔗
- 在全球範圍內,近一半的 Web 請求使用 HTTP/2,20% 使用 HTTP/3。🔗
- NodeJS 是製作自動化 API 呼叫時最常用的語言。 🔗
- 2023 年,Cloudflare 收到的最高請求流量來自 Googlebot。🔗
連線性和速度
- 2023 年,全球共發生 180 多起網際網路中斷事件,其中許多是由於政府指令地區和國家關閉網際網路連線造成的。 🔗
- 綜合 2023 年的資料,全球只有三分之一的 IPv6 請求是透過 IPv6 發出的。而在印度,這一比例達到了 70%。🔗
- 排名前 10 位的國家的平均下載速度均超過 200 Mbps,其中冰島在衡量網際網路品質的全部四項指標上都取得了最佳成績。🔗
- 全球 40% 以上的流量來自行動裝置。在 80 多個國家/地區中,大部分流量都來自行動裝置。🔗
安全性
- 在全球流量中,僅有不到 6% 的流量因被 Cloudflare 系統視為潛在惡意流量或因客戶定義原因而被緩解。在美國,有 3.65% 的流量被緩解,而在韓國,這一比例為 8.36%。 🔗
- 全球三分之一的傀儡程式流量來自美國,超過 11% 的全球傀儡程式流量來自 Amazon Web Services。 🔗
- 在全球範圍內,金融業是受攻擊最多的產業,但全年和全球範圍內,受攻擊流量激增的時間和目標產業差別很大。🔗
- 儘管 Log4j 是一個出現時間已久的漏洞,但在 2023 年期間仍然是攻擊的首要目標。然而,HTTP/2 Rapid Reset 作為一個新的重大漏洞出現,在一開始就導致了大量破紀錄的攻擊。🔗
- 1.7% 的 TLS 1.3 流量使用後量子加密。 🔗
- 欺騙性連結和勒索企圖是惡意電子郵件中最常見的兩種威脅類型。🔗
- 2023 年期間,以 RPKI 有效路由份額衡量的路由安全性在全球範圍內得到改善。沙烏地阿拉伯、阿拉伯聯合大公國和越南等國的路由安全性顯著提高。 🔗
介紹
Cloudflare Radar 於 2020 年 9 月推出,在宣佈其可用性的部落格文章中,我們討論了其意圖是「照亮網際網路的模式」。Cloudflare 的網路目前覆蓋 120 多個國家/地區的 310 多座城市,平均每秒為數百萬個網際網路內容提供超過 5000 萬個 HTTP(S) 請求,此外,平均每秒處理超過 7000 萬個 DNS 請求。這種巨大的全球足跡和規模產生的資料,與來自補充 Cloudflare 工具的資料相結合,使 Radar 能夠針對我們在網際網路上觀察到的模式和趨勢提供獨特的近即時視角。在過去幾年(2020 年、2021 年、2022 年)中,我們一直將這些見解匯總到年度回顧中,以揭示當年網際網路的模式。新的 Cloudflare Radar 2023 年度回顧延續了這一傳統,以互動式圖表、圖形和地圖為主要表現形式,您可以使用它們來探索過去一年中觀察到的值得注意的網際網路趨勢。
2023 年度回顧分為三個部分:流量洞察和趨勢、連線性和速度以及安全性。我們今年納入了幾個新指標,並盡可能保持基本方法與去年一致。網站視覺化每週顯示一次,時間跨度為 2023 年 1 月 2 日至 11 月 26 日。網站上提供了 180 多個國家/地區的趨勢,但由於資料不足,一些較小或人口較少的地區未包括在內。請注意,某些指標僅以全球視角呈現,如果選擇了某個國家/地區,則不會顯示。由於 11 月 2 日至 4 日發生了控制平面和分析中斷,這三天內相關指標的流量資料以內插值替換。
下面,我們將概述年度回顧的各個主要部分(流量洞察和趨勢、連線性和速度以及安全性)所包含的內容,以及值得注意的觀察結果和主要發現。此外,我們還發佈了一篇配套部落格文章,專門探討主要網際網路服務的發展趨勢。
然而,本文中包含的重要觀察結果和主要發現僅是年度回顧網站中獨特見解的冰山一角,我們強烈建議您造訪該網站,以更詳細地探索資料並瞭解您所在國家/地區的趨勢。在此期間,我們鼓勵您考慮這些部落格文章和網站各個部分中呈現的趨勢如何影響您的企業或組織,並考慮您可以如何利用這些洞察採取明智的行動,改善使用者體驗或增強未來的安全狀態。
流量洞察和趨勢
全球網際網路流量增長了 25%,與 2022 年的增長峰值保持一致。重大節假日、惡劣天氣和有意關閉明顯影響了網際網路流量。
25 年前,Worldcom 的高管們聲稱網際網路流量每 100 天(3.5 個月)翻一番。25 年後的今天,我們知道這些說法過於激進,但顯而易見的是,隨著越來越多的裝置連接起來,網際網路正在快速發展,越來越多的網站、應用程式和服務都在消費網際網路內容。
為了確定一段時間內的流量趨勢,我們先建立了一個基準,計算方式為 2023 年第二個完整行事曆週(1 月 8 日-14 日)的平均每日流量(不包括傀儡程式流量)。我們選擇第二個行事曆週是為了留出時間,以供人們在冬季假期和新年之後回歸「正常」生活(學校、工作等)。流量趨勢圖表中所顯示的百分比變化是相對於基準值計算的,代表七天的追蹤平均值,它不代表國家/地區的絕對流量。執行七天平均是為了平滑處理每日細微性的急劇變化。同時提供了 2022 年趨勢線以供比較之用。
我們的資料顯示,2023 年全球網際網路流量增長了 25%,下半年名義初始增長加速。總體而言,這一模式與 2022 年觀察到的情況類似(去年 2 月底的峰值除外),並且今年的峰值增長僅略高於 2022 年的峰值增長水準。加拿大的流量模式也與去年同期相當一致。今年表現出類似的季節性,2022 年和 2023 年的峰值增長均超過 30%。在許多國家,2022 年趨勢線顯示,耶誕節假期前的流量明顯下降,元旦前略有反彈。讓我們來看一下 2023 年的流量是否也遵循這種模式。
與 2022 年流量趨勢進行比較可更加明顯地看出重大節假日對網際網路流量的影響。例如,在印尼、土耳其和阿拉伯聯合大公國等穆斯林國家,因為慶祝開齋節(標誌著齋月齋戒結束的節日),2023 年 4 月 21 日至 23 日期間流量明顯下降,而在去年 5 月 2 日至 3 日的該慶祝活動期間,2022 年趨勢線也出現了類似的下跌。在義大利,4 月 9 日至 10 日,Pasqua di Resurrezione 和 Lunedì dell'Angelo(復活節週日和週一)期間的流量明顯下降,比 2022 年類似的流量下降提前一週。
此外,網際網路連線的長期中斷在流量趨勢圖中也清晰可見。例如,茅利塔尼亞於 3 月 6 日至 12 日和 5 月 30 日至 6 月 6 日期間實施了政府指令的關閉,加蓬於 8 月 26 日至 30 日實施了關閉,關島從 5 月 24 日起,因超強颱風「瑪娃」導致流量連續多週下降。
Google 再次成為最受歡迎的通用網際網路服務,2021 年的領頭羊 TikTok 跌至第四位。OpenAI 是新興的產生式 AI 類別中最受歡迎的服務,Binance 仍然是最受歡迎的加密貨幣服務。
過去幾年年度回顧中最受歡迎的部分之一是對最流行的網際網路服務的探索,包括一般服務和跨多個類別的服務。這些服務受歡迎程度排名基於對來自全球數百萬使用者的 1.1.1.1 公用 DNS 解析程式流量的匿名查詢資料的分析。儘管 DNS 解析在網域層級運作,但出於這些排名的目的,屬於單個網際網路服務的網域被歸為一組。
在整體類別中,Google 再次佔據榜首,部分原因是其廣泛的服務組合以及 Android 行動作業系統的受歡迎程度。除了電子商務、影片串流和訊息傳遞等常年排名靠前的類別之外,今年我們還關注了在 2023 年迅速崛起的產生式 AI。在這一類別中,OpenAI 憑藉其一年前才推出的 ChatGPT 的成功和受歡迎程度穩居榜首。儘管今年加密貨幣領域出現了動盪,但 Binance 仍然是該類別中最受歡迎的服務。
我們將在另一篇部落格文章中更詳細地探討這些分類排名以及特定服務的發展趨勢。
在全球範圍內,超過三分之二的行動裝置流量來自 Android 裝置。在超過 25 個國家/地區中,Android 在行動裝置流量中所占的份額超過 90%;iOS 行動裝置流量的峰值份額為 66%。
Apple 的 iOS 和 Google 的 Android 是行動裝置上使用的兩大主要作業系統,透过分析每個請求所報告的使用者代理資訊,我們可以深入瞭解不同用戶端作業系統的全年流量分佈情況。鑒於 Android 裝置的裝置和價位種類繁多,因此在全球行動裝置流量中,Android 占大多數也就不足為奇了。
在全球範圍內,超過三分之二的行動裝置流量來自 Android 裝置。這一比例與 2022 年觀察到的 Android/iOS 使用情況一致。在 Android 使用率最高的國家/地區中,我們發現孟加拉和巴布亞紐幾內亞位居榜首,這兩個國家/地區中超過 95% 的行動裝置流量來自 Android 裝置。仔細觀察 Android 使用率特別高的其他國家,我們發現這些國家主要位於非洲、大洋洲/亞洲和南美洲,而且許多國家的人均國民總收入水準較低。從採用的角度來看,低價「經濟型」手機的供應可能是 Android 系統的優勢所在。
相比之下,雖然 iOS 在國家/地區層面的行動裝置流量份額從未超過 70%,但包括丹麥、澳大利亞、日本和加拿大在內的許多 iOS 份額超過 50%的國家中,其人均國民總收入都相對較高,這可能說明這些國家更有能力購買價格更高的裝置。
2023 年,Starlink(星鏈計畫)的全球流量增長了近兩倍。2022 年年中在巴西啟動服務後,2023 年來自該國的 Starlink 流量增長了 17 倍多。
SpaceX 的 Starlink 高速衛星網際網路服務自 2019 年推出以來,其覆蓋範圍持續快速擴大,為許多以前傳統有線或無線寬頻無法提供服務或服務不足的國家/地區提供了高效能網際網路連線。該服務目前為該領域的領導者,Amazon 的 Project Kuiper 服務(今年發射了首批次兩顆測試衛星)以及 Eutelsat OneWeb(也於 2023 年擴大了其衛星星座)也將加入其中。
為了追蹤 Starlink 服務使用率和可用性的增長情況,我們分析了 2023 年與該服務的自發系統 (AS14593) 相關的 Cloudflare 總流量。雖然 Starlink 尚未在全球範圍內使用,但我們確實看到了多個國家/地區的流量增長。圖表中趨勢線上顯示的請求量是七天的追蹤平均值。為便於比較,還顯示了 2022 年的趨勢線,並按比例縮放到 2022 年和 2023 年的最大值。
在全球範圍內,我們看到 Starlink 流量今年增長了兩倍多。在美國,來自 Starlink 的流量增長了 2.5 倍以上,在巴西增長了 17 倍以上。在 2023 年開通 Starlink 服務的國家,包括肯亞、菲律賓和尚比亞,我們看到服務開通後流量迅速增長。
Google Analytics、React 和 HubSpot 是頂級網站最常用的技術。
現代網站是複雜的產品,依賴於框架、平台、服務和工具的組合,開發人員社群有責任使它們彼此共存,以提供無縫的體驗。使用我們於 2023 年 3 月推出的 Cloudflare Radar URL Scanner,我們掃描了與前 5000 個網域相關的網站,以識別十幾個不同類別中使用的最流行的技術和服務,包括(但不限於)Analytics(其中 Google Analytics 是迄今為止使用最廣泛的)、JavaScript 框架(React 在其中處於絕對領先地位)和行銷自動化提供者(領先者為 HubSpot,其他幾個競爭對手緊隨其後)。
在全球範圍內,近一半的 Web 請求使用 HTTP/2,20% 使用 HTTP/3。
HTTP(超文字傳輸通訊協定)是 Web 所依賴的核心通訊協定。HTTP/1.0 於 1996 年首次標準化,HTTP/1.1 於 1999 年標準化,HTTP/2 於 2015 年標準化。最新版本 HTTP/3 於 2022 年完成,並在新的傳輸通訊協定 QUIC 之上執行。在用戶端,最新版本的桌面版和行動版 Google Chrome 和 Mozilla Firefox 以及部分 Apple Safari 使用者預設啟用 HTTP/3 支援。HTTP/3 可供所有 Cloudflare 客戶免費使用,但並非每個客戶都選擇啟用它。
使用 QUIC 允許 HTTP/3 透過減輕封包丟失和網路變化的影響以及更快地建立連線來提供更高的效能。它還預設提供加密,從而降低攻擊風險。仍然使用舊版本 HTTP 的網站和應用程式無法享受這些好處。
我們對每個請求交涉的 HTTP 版本進行了分析,從而能夠深入瞭解全年各種通訊協定版本的流量分佈情況。(「HTTP/1.x」匯總了透過 HTTP/1.0 和 HTTP/1.1 發出的請求。)在全球範圍內,20% 的請求是透過最新版本 HTTP/3 發出的。另外三分之一的請求是透過相對古老的 HTTP/1.x 版本發出的,而 HTTP/2 仍然占主導地位,佔據了剩下的 47%。
從版本的地域分佈來看,我們發現包括尼泊爾、泰國、馬來西亞和斯里蘭卡在內的一些亞洲國家使用 HTTP/3 的比例最高,但這些比例沒有超過 35%。相比之下,在 2023 年期間,來自愛爾蘭、阿爾巴尼亞、芬蘭和中國等 10 個國家的 HTTP/1.x 請求超過了一半。
NodeJS 是製作自動化 API 呼叫時最常用的語言。
此外,隨著開發人員越來越多地使用自動化 API 呼叫來支援動態網站和應用程式,我們可以利用我們對 Web 流量的獨特可見性來識別這些 API 用戶端所使用的主要語言。在確定與 API 相關的請求並非來自使用瀏覽器或原生行動應用程式的使用者時,我們採用啟發式方法來幫助識別構建用戶端所使用的語言。
我們的分析發現,近 15% 的自動化 API 呼叫由 NodeJS 用戶端進行,Go、Java、Python 和 .NET 所占份額較小。
2023 年,Cloudflare 收到的最高請求流量來自 Googlebot。
Cloudflare Radar 讓使用者能夠查看選定時間段內國家/地區或網路層級的網際網路流量趨勢。然而,我們想縮小一點,看看 Cloudflare 在全年中從整個 IPv4 網際網路看到的流量。希爾伯特曲線作為「連續空間填充曲線」,具有可用於視覺化網際網路 IPv4 位址空間的屬性。
使用希爾伯特曲線視覺化,我們可以視覺化 2023 年 1 月 1 日至 11 月 26 日期間前往 Cloudflare 的請求流量(透過 IPv4)聚合情況。為了使用於視覺化的資料量易於管理,IP 位址在 /20 級別進行聚合,這意味著在最高縮放層級,每個儲存格代表來自 4096 個 IPv4 位址的流量。(IPv6 位址空間規模巨大,其相關流量在這樣的視覺化中非常難以看到,尤其是因為區域網際網路註冊管理機構分配的 IPv6 位址空間如此之少。)
在視覺化中,IP 位址按擁有權分組,對於其中顯示的大部分 IP 位址空間,在預設縮放層級下移動滑鼠將顯示位址區塊所屬的區域網際網路註冊管理機構 (RIR)。不過,也有一些位址區塊是在 RIR 系統存在之前指派的,對於這些位址區塊,會標注其所屬組織的名稱。逐步縮放最終會顯示 IP 位址區塊所屬的自發系統和國家/地區,以及相對於最大值的流量份額。(如果選擇了一個國家/地區,則只顯示與該地點相關的 IP 位址區塊)。總體流量份額使用基於色階的陰影來表示,雖然可以看到一些大的無陰影區塊,但這並不一定意味著相關的位址空間未被使用,而是意味著其使用方式可能不會給 Cloudflare 帶來流量。
較高請求量的區域(由較暖的橙色/紅色陰影表示)明顯分散在整個繪圖中,但 2023 年 Cloudflare 請求量最大的 IP 位址區塊是 66.249.64.0/20,屬於 Google。該 IP 位址區塊是 Googlebot 網路爬蟲使用的幾個 IP 位址區塊之一,考慮到 Cloudflare 網路上的 Web 內容數量,這可能是造成高請求量的一個原因。
僅憑簡短的摘要和靜態螢幕擷取畫面,很難對這一視覺化效果做出正確評價。要瞭解更多細節,我們建議您前往年度回顧網站,透過拖曳和縮放在 IPv4 網際網路上移動來進行探索。
連線性和速度
2023 年,全球共發生 180 多起網際網路中斷事件,其中許多是由於政府指令地區和國家關閉網際網路連線造成的。
2023 年期間,我們經常撰寫有關網際網路中斷的文章,無論是由於技術問題、政府指令關閉還是地緣政治衝突,以及我們在季度摘要中強調的基礎架構恢復問題(包括光纖切斷、停電和惡劣天氣)。這些中斷的影響可能是巨大的,包括重大經濟損失和通訊嚴重受限。Cloudflare Radar Outage Center 追蹤這些網際網路中斷,並使用 Cloudflare 流量資料來深入瞭解其範圍和持續時間。
全年中,有些中斷是短暫的,僅持續幾個小時,而另一些則持續了數月之久。在後一類中,印度曼尼普爾邦和衣索比亞阿姆哈拉的局部政府指令關閉已分別持續了七個多月和四個月(截至 12 月初)。在前一類中,伊拉克經常出現全國範圍內的網際網路關閉數小時的情況,目的是防止學術考試作弊——這也是六月、七月和八月時間表中中斷事件聚集的原因。
在年度回顧網站的時間表中,將滑鼠懸停在一個點上將顯示有關該中斷的中繼資料,按一下它將開啟一個包含更多資訊的頁面。如果選擇了某個國家/地區,則僅顯示該國家/地區的中斷情況。
綜合 2023 年的資料,全球只有三分之一的 IPv6 請求是透過 IPv6 發出的。而在印度,這一比例達到了 70%。
IPv6 早在 1998 年就以某種方式出現了,其擴展的位址空間可以更好地支援過去 25 年來呈指數級增長的網際網路連接裝置。在此期間,可用的 IPv4 空間已經耗盡,導致連線提供者不得不採用網路位址轉譯等解決方案,而雲端和託管提供者則以每個位址高達 50 美元的價格購買 IPv4 位址空間區塊。IPv6 還為網路提供者帶來了許多其他好處,如果實施正確,終端使用者應該能夠清晰瞭解其採用情況。
Cloudflare 一直是 IPv6 的積極倡導者,可以追溯到 2011 年我們一歲生日時,當時我們推出了自動 IPv6 閘道,為我們的所有客戶提供了免費的 IPv6 支援。僅僅幾年後,我們就預設為所有客戶啟用了 IPv6 支援。(雖然預設啟用,但出於各種原因,並非所有客戶都選擇保持啟用狀態。)但是,這種支援只是完成了推動 IPv6 採用的一半努力,另一半則是終端使用者連線的支援。(從技術上講,過程比這要更複雜一些,但這是兩個基本要求。)透過分析向 Cloudflare 發出的每個請求所使用的 IP 版本,我們可以深入瞭解全年內不同通訊協定版本的流量分佈情況。
由於印度電信提供者 Reliance Jio 幾乎完全採用了 IPv6,印度使用者 70% 的雙堆疊請求是透過 IPv6 發出的。緊隨印度之後的是馬來西亞,由於該國主要網際網路提供者對 IPv6 的採用率很高,2023 年期間該國 66% 的雙堆疊請求是透過 IPv6 發出的。包括沙烏地阿拉伯、越南、希臘、法國、烏拉圭和泰國在內的其他國家,平均有一半以上的雙堆疊請求是透過 IPv6 發出的。相比之下,在 2023 年期間,約有 40 個國家/地區透過 IPv6 發出的雙堆疊請求不到 1%。在 IPv6 作為標準草案首次發佈 25 年之後,如此多的國家/地區在採用 IPv6 方面仍然滯後,這令人十分驚訝。
排名前 10 位的國家的平均下載速度均超過 200 Mbps,其中冰島在衡量網際網路品質的全部四項指標上都取得了最佳成績。
即使沒有面臨網際網路中斷,世界各地的使用者也經常面臨網際網路連線效能不佳的問題,無論是由於低速、高延遲還是這些因素的組合。儘管網際網路提供商不斷發展其服務組合,提供更高的連線速度和更低的延遲,以支援線上遊戲和視訊會議等用例的增長,但由於成本、可用性或其他問題,消費者的採用情況往往參差不齊。透過匯總 2023 年期間進行的 speed.cloudflare.com 測試的結果,我們可以從地理角度瞭解連線品質指標,包括平均下載和上傳速度、平均空閒和載入延遲以及測量值的分佈情況。
在冰島,超過 85% 的網際網路連線透過光纖進行,在整體網際網路品質指標最佳的國家排名中,該國的排名也反映出了這一點。因為速度測試結果顯示,那裡的提供者提供最高的平均速度(282.5 Mbps 下載, 179.9 Mbps 上傳)和最低平均延遲(空閒 9.6 毫秒,載入 77.1 毫秒)。下面的長條圖顯示,雖然有大量的下載速度在 0- 100 Mbps 之間,但也有大量的測試測量到更高的速度,包括一些超過 1 Gbps 的速度。
包括西班牙、葡萄牙和丹麥在內的西歐國家在多個網際網路品質指標中也名列前十。
全球 40% 以上的流量來自行動裝置。在 80 多個國家/地區中,大部分流量都來自行動裝置。
在過去 15 年左右的時間裡,行動裝置變得越來越無處不在,成為我們個人和職業生活中不可或缺的裝置,這在很大程度上要歸功於它們能夠讓我們隨時隨地存取網際網路。在一些國家/地區,行動裝置主要透過 Wi-Fi 連線到網際網路,而另一些國家/地區則是「行動優先」,主要透過 4G/5G 服務存取網際網路。
透過分析向 Cloudflare 發出的每個請求所報告的使用者代理所包含的資訊,我們可以將其分類為來自行動裝置、桌上型裝置或其他類型的裝置。在全球範圍內匯總全年的這一分類,我們發現 42% 的流量來自行動裝置,58% 來自筆記型電腦和「經典」PC 等桌上型裝置。這些流量份額與 2022 年測得的資料一致。尚比亞 79% 的流量來自行動裝置,使其成為 2023 年行動裝置流量份額最大的國家。其他行動裝置流量超過 50% 的國家/地區集中在中東/非洲、亞太地區和南美洲/中美洲。相比之下,芬蘭是桌上型裝置流量份額最高的國家之一,達到 80%。
安全性
在全球流量中,僅有不到 6% 的流量因被 Cloudflare 系統視為潛在惡意流量或因客戶定義原因而被緩解。在美國,有 3.65% 的流量被緩解,而在韓國,這一比例為 8.36%。
惡意傀儡程式通常用於攻擊網站和應用程式。為了保護客戶免受這些威脅,Cloudflare 使用 DDoS 緩解技術或 Web 應用程式防火牆 (WAF) 受管理規則來緩解(封鎖)此攻擊流量。然而,出於各種其他原因,客戶也可能選擇讓 Cloudflare 使用其他技術來緩解流量,例如限速請求,或封鎖來自給定位置的所有流量(即使它不是惡意的)。透過分析 2023 年全年的 Cloudflare 網路流量,我們得出了被緩解流量(無論出於何種原因)的總體份額,以及作為 DDoS 攻擊或被 WAF 受管理規則緩解的流量份額。
總體而言,只有不到 6% 的全球流量因潛在惡意或客戶定義的原因而被 Cloudflare 系統緩解,而其中只有約 2% 的流量因 DDoS/受管理 WAF 而被緩解。百慕大等一些國家的兩個指標的百分比非常接近,而巴基斯坦和南非等其他國家的趨勢線之間的差距要大得多。
全球三分之一的傀儡程式流量來自美國,超過 11% 的全球傀儡程式流量來自 Amazon Web Services。
傀儡程式流量是指任何非人類的網際網路流量,監控傀儡程式流量水準可以協助網站和應用程式擁有者發現潛在的惡意活動。當然,傀儡程式也會有所幫助,Cloudflare 維護著一份經過驗證的傀儡程式清單,以幫助保持網際網路的健康。經過驗證的傀儡程式包括那些用於搜尋引擎索引、效能測試和可用性監控的傀儡程式。無論意圖如何,我們都想看看傀儡程式流量來自哪裡,我們可以使用請求的 IP 位址來識別與發出請求的傀儡程式相關的網路(自發系統)和國家/地區。不出所料,我們發現,雲端平台是傀儡程式流量的主要來源之一。原因可能包括以下幾點:計算資源的自動佈建/停用非常容易,而且成本相對較低;雲端平台的地理覆蓋範圍十分廣泛;以及高頻寬連線的可用性。
在全球範圍內,近 12% 的傀儡程式流量來自 Amazon Web Services,超過 7% 來自 Google。還有一部分來自消費者網際網路服務提供者,其中美國寬頻提供者 Comcast 提供了超過 1.5% 的全球傀儡程式流量。大量的傀儡程式流量來自美國,占全球傀儡程式流量的近三分之一,是德國的四倍,後者僅占 8%。在美國,Amazon 的傀儡程式流量總份額僅次於 Google。
在全球範圍內,金融業是受攻擊最多的產業,但全年和全球範圍內,受攻擊流量激增的時間和目標產業差別很大。
攻擊目標行業通常會隨著時間的推移而發生變化,具體取決於攻擊者的意圖。他們可能試圖透過在繁忙的購物期間攻擊電子商務網站來造成經濟損失,或者他們可能試圖透過攻擊政府相關網站來發表政治聲明。為了識別 2023 年期間針對產業的攻擊活動,我們分析了在其客戶記錄中具有相關產業和垂直領域的客戶的緩解流量。每週按來源國家/地區匯總 18 個目標行業的緩解流量。
在全球範圍內,金融組織在這一年中受到的攻擊最多,不過我們可以看到,週與週之間有很大的波動。有趣的是,一些聚集現象很明顯,因為金融業(包括為行動支付、投資/交易和加密貨幣提供網站和應用程式的組織)也是一些歐洲國家(包括奧地利、瑞士、法國、英國、愛爾蘭、義大利和荷蘭)以及北美的加拿大、美國和墨西哥的首要攻擊目標。健康產業(包括生產運動器材的公司和醫療檢測裝置製造商)是多個非洲國家的首要目標,包括貝南、象牙海岸、喀麥隆、衣索比亞、塞內加爾和索馬里。
但總體而言,今年開局緩慢,沒有哪個產業的流量緩解量超過 8%。隨著第一季度的推進,在 1 月下旬,專業服務和新聞/媒體/出版組織緩解流量的份額激增,健康行業在 2 月中旬出現了跳躍式增長,在 3 月初,法律和政府組織的緩解流量急劇增加。藝術/娛樂/休閒行業類別的客戶成為了一起為期數週的攻擊活動的目標,在 3 月 26 日、4 月 2 日和 4 月 9 日這幾週內,流量減少了 20% 以上。專業服務行業的緩解流量份額在 8 月 6 日這一週達到了 38.4%,幾乎是 1 月份峰值的兩倍,是這一年的整體峰值。不同國家/地區出現峰值的時間和產業差異很大。
儘管 Log4j 是一個出現時間已久的漏洞,但在 2023 年期間仍然是攻擊的首要目標。然而,HTTP/2 Rapid Reset 作為一個新的重大漏洞出現,在一開始就導致了大量破紀錄的攻擊。
2023 年 8 月,我們發佈了一篇部落格文章,探討了針對聯合網路安全諮詢中列出的 2022 年最常被利用的漏洞,Cloudflare 所觀察到的流量。這些漏洞包括基於 Log4j Java 的日誌記錄實用程式、Microsoft Exchange、Atlassian 的 Confluence 平台、VMWare 和 F5 的 BIG-IP 流量管理系統中的漏洞。儘管這些是較舊的漏洞,但攻擊者在 2023 年仍在積極針對和利用這些漏洞,部分原因是企業在遵循網路安全諮詢中提出的建議方面經常進展緩慢。我們針對這篇部落格文章更新了所做的分析,僅包含 2023 年的攻擊活動。
不同地區針對不同漏洞的攻擊活動各不相同,有些地區的攻擊只針對部分漏洞。從全球範圍來看,針對 Log4j 的攻擊數量一直比針對其他漏洞的攻擊數量要少,而且在 10 月最後一週和 11 月中下旬出現了高峰;針對 Atlassian 漏洞的攻擊活動在 7 月下旬有所增加,並在本年度其餘時間呈緩慢上升趨勢。從國家/地區層面來看,Log4j 通常是最受針對的漏洞。在法國、德國、印度和美國等國家/地區,相關的攻擊量在全年都保持在一個較高的水準,而其他國家/地區 ,這些攻擊在一個國家/地區的圖表中明顯地表現出罕見的、短暫的峰值,穿插在其他低水準的攻擊量之間。
我們還預計,到 2024 年,攻擊者將繼續針對 10 月份披露的 HTTP/2 Rapid Reset 漏洞。該漏洞(有關詳細資訊,請參閱 CVE-2023-44487)濫用了 HTTP/2 通訊協定的請求取消功能中的潛在弱點,導致目標 Web/代理伺服器上的資源耗盡。8 月底到 10 月初期間,我們發現了多起針對該漏洞的攻擊。在這些攻擊中,平均攻擊速率為每秒 3000 萬個請求 (rps),其中近 90 個請求峰值超過 1 億 rps,最大的一次達到 2.01 億 rps。這場最大規模的攻擊比我們之前記錄的最大規模攻擊高出近 3 倍。
關於此漏洞的一個值得注意的問題是,攻擊者能夠利用僅由 20,000 個受感染系統組成的殭屍網路發起如此大規模的攻擊。這比當今一些包含數十萬或數百萬台主機的大型殭屍網路要小得多。由於平均 Web 流量估計為每秒 10 到 30 億個請求,因此使用此方法的攻擊可以將整個 Web 的請求集中在一些毫無戒心的目標上。
1.7% 的 TLS 1.3 流量使用後量子加密
後量子是指一組新的加密技術,可以保護資料免受敵人的攻擊,並能夠擷取和儲存當今的資料,以便將來由足夠強大的量子電腦解密。Cloudflare 研究團隊自 2017 年以來一直在探索後量子密碼學。
2022 年 10 月,我們預設在邊緣啟用後量子金鑰協定,但使用該協定需要瀏覽器的支援。Google 的 Chrome 瀏覽器於 2023 年 8 月開始慢慢啟用支援,我們預計其支持將在 2024 年繼續增長,其他瀏覽器也將隨著時間的推移增加支援。2023 年 9 月,我們宣佈針對輸入和輸出連線以及許多內部服務全面推出後量子加密技術,並預計在 2024 年底之前完成所有內部服務的升級。
在 8 月份首次啟用支援後,Chrome 開始增加使用後量子加密技術的瀏覽器(版本 116 及更高版本)數量,從而實現了逐步增長,並在 11 月 8 日出現了大幅增長。正是由於這些舉措,在 11 月底,使用後量子加密的 TLS 1.3 流量的比例達到了 1.7%。隨著 Chrome 瀏覽器未來的更新,以及其他瀏覽器增加對後量子加密的支援,我們預計這一比例將在 2024 年繼續快速增長。
欺騙性連結和勒索企圖是惡意電子郵件中最常見的兩種威脅類型。
作為排名第一的商業應用程式,電子郵件對於攻擊者來說是進入企業網路的一個非常有吸引力的入口點。有針對性的惡意電子郵件可能會試圖冒充合法寄件者、嘗試讓使用者點擊欺騙性連結或包含危險附件以及其他類型的威脅。Cloudflare Area 1 Email Security 可保護客戶免受基於電子郵件的攻擊,包括透過針對性惡意電子郵件進行的攻擊。2023 年,在 Cloudflare Area 1 分析的電子郵件中,平均有 2.65% 被發現是惡意的。根據每週匯總情況,2 月初、9 月初和 10 月下旬分別出現超過 3.5%、4.5% 和超過 5% 的峰值。
在使用惡意電子郵件實施攻擊時,攻擊者會使用各種技術,我們將其稱為威脅類別。Cloudflare 的《2023 年網路釣魚威脅報告》對這些類別進行了詳細定義和探討。對惡意電子郵件的分析表明,郵件可能包含多種類型的威脅,這凸顯了對全面電子郵件安全解決方案的需求。透過探索這些類別的威脅活動趨勢,我們發現,在全年按週匯總的威脅活動中,多達 80% 的郵件包含欺騙性連結。
然而,攻擊者似乎在 8 月份開始轉變策略,因為包含欺騙性連結的電子郵件比例開始下降,而提出勒索收件人的比例開始上升。到 10 月底和 11 月,這兩類威脅的位置發生了互換,如下圖右側所示,在分析的惡意電子郵件中,近 80% 包含勒索威脅,而只有 20% 包含欺騙性連結。不過,這種勒索活動可能曇花一現,因為其比例下降的速度幾乎和上升的速度一樣快。身分欺騙和憑據收集也是常見的威脅,不過在這一年中發現這兩種威脅的電子郵件所占比例逐漸下降。
2023 年期間,以 RPKI 有效路由份額衡量的路由安全性在全球範圍內得到改善。沙烏地阿拉伯、阿拉伯聯合大公國和越南等國的路由安全性顯著提高。
邊界閘道通訊協定 (BGP) 是網際網路的路由通訊協定,用於在網路之間傳遞路由,使流量能夠在來源和目的地之間流動。然而,由於它依賴於網路之間的信任,因此對等點之間共用的不正確資訊(無論是有意還是無意)都可能會將流量傳送到錯誤的位置,從而可能產生惡意結果。資源公開金鑰基礎架構 (RPKI) 是一種簽名記錄的加密方法,它將 BGP 路由公告與正確的來源 AS 編號相關聯。簡而言之,它提供了一種方法來確保所共用的資訊最初來自允許這樣做的網路。(請注意,這只是實現路由安全的挑戰的一半,因為網路提供者還需要驗證這些簽名並篩選掉無效的公告。)在美國,聯邦政府認識到路由安全的重要性,聯邦通訊委員會於 7 月 31 日舉辦了「邊境閘道通訊協定安全研討會」。
Cloudflare 一直是路由安全的堅定支援者,其採取了一系列措施,包括:作為 MANRS CDN 和 Cloud Programme 的創始參與者;為網路營運商發佈 RPKI 工具組;提供一個公用工具,讓使用者能夠測試其網際網路提供者是否安全地實施了 BGP;以及今年夏天在 FCC 研討會上發表演講。
在 Cloudflare Radar 上 7 月份發佈的新路由頁面的基礎上,我們分析了 RIPE NCC 的 RPKI 每日封存中的資料,以確定 RPKI 有效路由(而不是那些無效或狀態未知的路由公告)的份額,以及這些份額在 2023 年期間的變化情況。自今年年初以來,RPKI 有效路由的全球份額增長至近 45%,較 2022 年底上升了 6 個百分點。在國家/地區層面,我們關注的是與給定國家/地區相關的自發系統公告的路由。在美國,FCC 對路由安全的日益關注可以說是有道理的,因為只有不到三分之一的路由是 RPKI 有效的。雖然這明顯好于韓國(韓國公告的路由中只有不到 1% 是 RPKI 有效的),但它明顯落後于越南,越南的份額在今年上半年增加了 35 個百分點,達到 90%。
結論
在 Cloudflare Radar 2023 年度回顧中,我們試圖透過趨勢圖和匯總統計提供動態的網際網路快照,提供有關網際網路流量、網際網路品質和網際網路安全的獨特視角,以及這些領域的關鍵指標在世界各地的差異。
正如我們在簡介中所說,我們強烈建議您造訪 Cloudflare Radar 2023 年度回顧網站,探索與感興趣的指標、國家/地區和產業相關的趨勢,並想一想這些趨勢對您的組織產生了怎樣的影響,從而做好適當的準備來迎接 2024 年。
如果您有任何疑問,可以透過 [email protected] 聯絡 Cloudflare Radar 團隊,或透過社交媒體 @CloudflareRadar (X/Twitter)、cloudflare.social/@radar (Mastodon) 和 radar.cloudflare.com (Bluesky) 聯絡 Cloudflare Radar 團隊。
特別感謝
正如我們去年所指出的,為我們的年度回顧提供資料、網站和內容確實需要團隊的努力,在此我要感謝那些為今年的工作做出貢獻的團隊成員。感謝:Sabina Zejnilovic、Jorge Pacheco、Carlos Azevedo(資料科學);Arun Chintalapati、Reza Mohammady(設計);Vasco Asturiano、Nuno Pereira、Tiago Dias(前端開發);João Tomé(最受歡迎的網際網路服務);以及 Davide Marquês、Paula Tavares、Celso Martinho(專案/工程管理)和無數其他同事的回答、編輯和想法。