今年二月底,俄羅斯對烏克蘭發動了無端的悲慘入侵,俄羅斯軍隊試圖進入烏克蘭全境,卻遭到烏克蘭人民的抵抗和抵禦,全世界都在密切關注事態進展。同樣,我們也看到該地區出現了大量的網路攻擊。我們將繼續致力於保護烏克蘭政府、媒體、金融和非營利網站免於日益增多的攻擊,我們還保護了烏克蘭頂層網域 (.ua),從而幫助確保烏克蘭在網際網路上的存在。
與此同時,我們密切關注俄羅斯在網際網路上前所未有的重大活動。俄羅斯政府已採取措施,加強其對俄羅斯網際網路技術組成和內容的控制。就俄羅斯人民而言,他們正在進行一些不同尋常的事情。他們一直在採用各種工具來保持與全球網際網路的連結,並且一直在尋找非俄羅斯的媒體資源。這篇部落格貼文將概述我們所觀察到的情況。
俄羅斯政府宣稱控制網際網路
過去五年中,俄羅斯政府已採取措施加強其對俄羅斯境內主權網際網路的控制,包括法律要求俄羅斯 ISP 安裝允許政府監控和封鎖網際網路活動的設備,以及要求設立專門的俄羅斯 DNS(外部 ICANN)。這為俄羅斯政府打造了控制俄羅斯如何與全球網際網路連線的機制,如果他們願意,就可以終止連線。
自俄羅斯入侵烏克蘭以來,俄羅斯政府已就其主權網際網路法律的實施發表了一系列相關聲明。俄羅斯政府機構得到指示,切換至俄羅斯 DNS 伺服器,將公共資源轉移到俄羅斯代管服務,同時採取一系列其他措施來減少對非俄羅斯服務提供者的依賴。雖然一些人將這些舉措視作俄羅斯有意切斷與全球網際網路連線的宣告,但到目前為止,俄羅斯似乎還沒有利用其所擁有的工具完全切斷與全球網際網路的連線。我們依舊看到,俄羅斯透過非俄羅斯基礎結構成功處理連線。
與此同時,俄羅斯當局對他們認為令人反感的網站和營運商採取了一系列針對性的封鎖行動。最初,官方針對的是常用的社交媒體網站,如 Facebook、Instagram 和 Twitter,以及國外的俄語媒體。
我們可以看到,其中一些封鎖對俄羅斯使用者在封鎖實施前後瀏覽俄羅斯和烏克蘭不同新聞網站流量的影響。
在每個案例中,這些新聞網站流量在 2 月 24 日入侵烏克蘭前後的日子都出現了指數級增長。但是,這些增長在幾天內便透過封鎖這些網站流量的動作得到滿足。在最初幾週內,這些封鎖取得了不同程度的成功,不過,每次封鎖似乎最終都成功阻止了人們透過傳統網際網路管道獲取這些新聞來源。
但這只是故事的一半。隨著俄羅斯政府採取措施控制網際網路存取的傳統管路,許多俄羅斯人使用網際網路的方式發生了轉變。
俄羅斯公民轉而使用工具來存取開放式網際網路
俄羅斯人一直在採用應用程式和工具來私人接入網際網路,從而避開俄羅斯政府用於控制和監控網際網路存取的一些機制。今年三月,在全球大部分地區,Apple App Store 中最受歡迎的應用程式仍與社交媒體和遊戲相關,但俄羅斯的排行榜卻截然不同:
今年三月,俄羅斯排名靠前的所有應用程式都是私人和安全網際網路存取或加密管理應用程式,包括下載最多的應用程式 – Cloudflare 自有的 WARP / 1.1.1.1(基於隱私的遞迴 DNS 解析程式)。這份熱門應用程式清單與全世界其他各國家/地區形成了驚人的對比。
由於 WARP (1.1.1.1) 的重要性和熱門程度,我們對其具體情況有了一些詳細的瞭解。回顧二月初的情形,我們可以發現,Cloudflare 的 WARP 工具在俄羅斯很少使用。該工具的使用自戰爭的第一個週末開始,兩週後到達頂峰。後來,在向這種安全工具的虛擬遷移變得明顯之後,我們看到有人試圖封鎖對用於安全存取網際網路的工具的存取。
雖然水平已從頂峰回落,但大量俄羅斯人在俄羅斯繼續使用 Cloudflare WARP,水平遠遠高於戰前。
除了俄羅斯人使用網際網路的方式越來越依賴私人和加密通訊外,我們也看到他們嘗試存取的內容發生了轉變。這是俄羅斯使用者針對一家美國知名報紙的 DNS 請求圖表。該網站最近的 DNS 流量是戰前水平的五倍,表明俄羅斯人正在嘗試存取該新聞來源。
這是一個大型法國新聞來源的 DNS 流量。同樣是由於俄羅斯人嘗試存取,使得 DNS 查閱得到巨大增長。
這是一份英國報紙。
從這三張圖來看,情況已然明晰。俄羅斯人希望基於私人網際網路存取工具和 VPN 來存取非俄羅斯的新聞來源,他們願意為此而努力。
對抗網路攻擊的第一線
除了我們能夠為俄羅斯普通公民提供的服務外,我們位於國內網際網路邊緣的伺服器還允許我們偵測和封鎖來自那裡的攻擊。當俄羅斯境內的攻擊有所緩解時,他們絕不會流出俄羅斯邊界。這一直是 Cloudflare 分散式網路主張的一部分 – 即在本機識別並封鎖網路攻擊(尤其是 DDoS 攻擊),並在攻擊發生之前予以阻止。
以下是自二月初以來,來自俄羅斯境內並已被 Cloudflare 封鎖的 DDoS 活動的情況。來自俄羅斯網路並被 Cloudflare 伺服器封鎖的正常 DDoS 活動在二月相對較低,但在三月中旬大幅增長。
需要明確的是,能夠識別網路攻擊流量的來源並不表示就能夠判斷攻擊者所處的位置。網路攻擊難以歸因,現在是時候要特別留意歸因了。網路攻擊者從世界各地的偏遠地點發起攻擊相對常見。通常在他們能夠透過物聯網 (IoT) 腐敗等手段劫持其他國家/地區的設備時發生。
但即使有這樣的詭計,我們仍然看到對針我們在俄羅斯境內伺服器的攻擊的封鎖數量顯著增長。
幾週前,烏克蘭入侵還處於早期階段,我注意到「俄羅斯需要更多的網際網路,而不是更少」。在美國和歐洲實施前所未有的經濟制裁之前,有人呼籲所有外國公司更進一步,完全退出俄羅斯,包括呼籲網際網路提供者斷開與俄羅斯的連線。明確來說,Cloudflare 在俄羅斯的銷售和商業活動非常少 – 我們從未在那裡設立公司實體、辦公室或雇佣員工 – 而且我們已經採取措施確保我們沒有向俄羅斯政府繳納稅款或費用。但考慮到我們的服務對網際網路的可用性和安全性具有重大意義,我們認為將我們的服務完全從俄羅斯撤出弊大於利。
雖然我們非常理解呼籲公司退出俄羅斯的動機,但是網際網路公司的退出可能會產生意想不到的效果,促進並鞏固俄羅斯政府控制俄羅斯網際網路的興趣。透過 ICANN 和 RIPE 切斷俄羅斯與全球網際網路的連線,將只會切斷俄羅斯人民獲得戰爭相關資訊的聯繫,而這些資訊是俄羅斯政府不希望他們獲取的。在一些美國認證機構停止對俄羅斯網站發放 SSL 憑證後,俄羅斯於三月初做出回應,轉而鼓勵俄羅斯公民下載俄羅斯根憑證授權機構。據 EFF 觀察,「俄羅斯政府維持其服務運行的權益之計也使對俄羅斯人的監視成為可能,現在和將來都是如此」。
正因如次,專家們幾乎一致認為,俄羅斯網際網路必須盡可能對俄羅斯人民開放。數十家民間社會團體敦促政府努力抵制獨裁行為,「透過加強對普京的資訊控制,確保旨在否定俄羅斯政府非法行為的制裁和其他措施不會產生適得其反的效果」。俄羅斯數位權利活動人士懇求服務提供者為俄羅斯人提供免費 VPN 存取,這樣他們便不會與全球新聞來源隔絕。美國國務院也明確表示,「最大限度地確保資訊流量流入俄羅斯人民,這一點至關重要」。
為了支援我們幫助構建更好的網際網路的使命,我們的團隊已經忙碌了六週,密切關注這些進展情況,日益繼日地工作,確保烏克蘭 Web 資產得到保護,讓普通俄羅斯民眾也能存取全球網際網路。我們依然敬畏勇敢的烏克蘭人站起來保衛他們的家園,我們將一如既往地希望和平終將取得勝利。
