Jetzt abonnieren, um Benachrichtigungen über neue Beiträge zu erhalten:

Cloudflare Radar bietet ab sofort auch Erkenntnisse zu HTTP-Anfragen-Traffic

2024-08-13

Lesezeit: 7 Min.
Dieser Beitrag ist auch auf English, Español, und Français verfügbar.

Bisher waren in den Traffic-Diagrammen von Cloudflare Radar zwei Kennzahlen abgebildet: der Gesamtdatenverkehr und der HTTP-Traffic. Dargestellt sind standardisierte, in Byte gemessene Traffic-Mengen, die aus aggregierten Daten von NetFlow abgeleitet wurden. (NetFlow ist ein Protokoll zur Erhebung von Metadaten über den Verlauf, den IP-Traffic durch Netzwerkgeräte nimmt.) Wir erweitern die Darstellung nun um eine zusätzliche Kennzahl. Diese spiegelt die Zahl der HTTP-Anfragen wider, die für den gleichen Zeitraum standardisiert wurden. Durch die Gegenüberstellung von Bytes und Anfragen lassen sich zusätzliche Einblicke in die Traffic-Muster und das Nutzerverhalten gewinnen. Im Folgenden wird erörtert, wie die neuen Daten bei Radar integriert wurden. Außerdem gehen wir näher auf den HTTP-Anfrage-Traffic ein.

Zunächst ist darauf hinzuweisen, dass in diesem Beitrag und auf Radar zwar die Rede von HTTP-Anfrage-Traffic ist, der Begriff aber auch Anfragen umfasst, die im Klartext per HTTP und über verschlüsselte Verbindungen mit HTTPS gestellt werden – auf letztere entfielen rund 95 % aller Anfragen an Cloudflare im Juli 2024.

Neue und aktualisierte Diagramme

Unter den Rubriken „Overview“ (Übersicht) und „Traffic“ finden sich bei Cloudflare Radar Diagramme, für deren Erstellung ab sofort auch Daten zum HTTP-Anfrage-Traffic genutzt werden. Die Grafik „Traffic trends“ auf der „Overview“-Seite enthält nun oben rechts ein Dropdown-Menü, in dem zwischen „Total & HTTP bytes“ (Gesamt- und HTTP-Bytes) und „HTTP requests & bytes“ (HTTP-Anfragen und Bytes) gewählt werden kann. Worin der Unterschied besteht, werden wir jetzt näher erläutern.

2493-2

Bei der Standardauswahl „Total & HTTP bytes“ wird ein Zeitreihendiagramm angezeigt, das die Gesamtzahl der Bytes und den HTTP-Byte-Traffic über einen gewissen Zeitraum darstellt, wie bei Radar schon seit einigen Jahren üblich.

2493-3

Bei Auswahl von „HTTP requests & bytes“ aus dem Dropdown-Menü wird ein Zeitreihendiagramm angezeigt, das den HTTP-Anfrage-Traffic und den HTTP-Bytes-Traffic über einen gewissen Zeitraum darstellt. In beiden Grafiken kann eine Kennzahl durch Anklicken in der Legende abgewählt und aus dem Diagramm entfernt werden. Beim Herunterladen oder Speichern einer Grafik wird diese Ab- bzw. Auswahl beibehalten.

2493-4

Neben dem Diagramm wird nun eine Übersicht namens „Protocols“ (Protokolle) angezeigt, die für den ausgewählten Zeitraum den Anteil von HTTP an der Gesamtmenge der Bytes zeigt, sowie den verbleibenden aggregierten Anteil der Protokolle, die von anderen Nicht-HTTP-basierten Cloudflare-Diensten genutzt wird (wie DNS und WARP). Bei den meisten Standorten oder ASN macht HTTP den Großteil des in Byte gemessenen Datenverkehrs aus.

2493-5

Unter der „Traffic“-Rubrik von Radar wurde die Kennzahl „HTTP-Anfragen“ in das Diagramm „Traffic volume“ (Traffic-Menge) oben auf der Seite mit aufgenommen. So kann ab sofort eingesehen werden, wie sich das Anfrage-Volumen während des ausgewählten Zeitraums gegenüber dem vorherigen Zeitfenster verändert hat. Außerdem lässt sich damit die Veränderung der in Byte gemessenen Kennzahlen abbilden.

2493-6

Darüber hinaus wurde unter der „Traffic“-Rubrik ein neues, auf Anfragen basierendes Diagramm namens „HTTP traffic“ direkt unter dem auf Byte-Zahlen beruhenden Diagramm „Traffic trends“ hinzugefügt. Diese neue Grafik zeigt das standardisierte Volumen des HTTP-Anfrage-Traffics für den ausgewählten Zeitraum. Zudem wird dieses standardmäßig mit dem vorherigen Zeitraum verglichen.

2493-7

Diese neuen, auf HTTP-Anfragen beruhenden Grafiken können ebenso wie andere bei Radar veröffentlichte Diagramme durch Anklicken des „Teilen“-Symbols heruntergeladen, in die Zwischenablage kopiert oder in eine andere Website eingebettet werden.

Wie gewohnt sind die zugrundeliegenden Daten auch über die Radar-API verfügbar. Der API-Endpunkt „HTTP requests Time Series“ (Zeitreihe für HTTP-Anfragen) gibt standardisierte Zeitreihendaten für HTTP-Anfragen über den angegebenen Zeitraum für den gewünschten Ort oder die gewünschte AS-Nummer (Autonomous System Number – ASN) aus.

Was versteht man unter HTTP-Anfrage-Traffic?

Eine HTTP-GET-Anfrage ist eine Nachricht, die von einem Client (etwa einem Browser) an einen (z. B. von Cloudflare betriebenen) Webserver gesendet wird und eine bestimmte Ressource (Datei) anfordert. Der Webserver übermittelt die angeforderte Ressource – bei der es sich etwa um ein Single-Pixel-GIF mit wenigen Bytes, über einen API-Aufruf mit einigen Kilobytes an Daten oder ein Softwarepaket mit mehreren Gigabyte handeln kann. Zusätzlich antwortet er auch mit einer Reihe von Headern, die Informationen unter anderem über den Content Type, den Zeitpunkt der letzten Änderung der Ressource, über Cookies oder die Zwischenspeicherbarkeit enthalten können. Zwar machen GET-Anfragen die überwiegende Mehrheit des HTTP-Anfrage-Traffics aus, doch dieser Datenverkehr umfasst auch andere HTTP-Anfrage-Methoden, etwa HEAD, POST und PUT.

Von unserem Netzwerk empfangene HTTP-Anfragen werden von Cloudflare vorübergehend protokolliert, was auch die Header-Informationen und Metadaten zu der Anfrage umfasst, beispielsweise den für die Anfrage berechneten Bot-Score und den zugehörigen Cache-Status. Anfrage-Protokolle für ihre Webpräsenzen stehen Kunden zum Download zur Verfügung. Nach ihrer Verarbeitung und Analyse sind diese Daten auch im Bereich „Analytics“ (Analysen) des Cloudflare-Dashboards einsehbar. Die jetzt bei Radar verfügbaren HTTP-Anfrage-Daten beruhen auf einer Stichprobe dieser Protokolldaten, die aus dem internationalen Kundenstamm von Cloudflare stammen und gebündelt wurden.

Der Erkenntniswert von anfragebezogenen Traffic-Messungen

Bei Cloudflare Radar konnten bereits bislang HTTP-Daten abgerufen werden. Warum also noch weitere hinzunehmen? Ein wichtiges Argument dafür, HTTP-Anfrage-Traffic zu analysieren und in die Datenerhebung einzubeziehen, ist die Ausfallsicherheit. Wenn für den HTTP-Datenverkehr mehrere Quellen zur Verfügung stehen, kann besser und schneller zwischen echten Vorfällen (wie einer Störung des Internet in einem bestimmten Land oder Netzwerk) und Datenpipeline-Problemen unterschieden werden.

Kennzahlen auf Grundlage von Byte-Werten geben guten Aufschluss über das menschliche Verhalten (der Nutzer), insbesondere im Zusammenhang mit Internetstörungen. Kennzahlen auf Basis von Anfrage-Volumina bieten aber einen noch besseren Einblick. Ein Großteil des HTTP-Datenverkehrs beinhaltet relativ kleine Antworten. Das gilt insbesondere für API-Traffic, der mittlerweile für 60 % des gesamten Datenverkehrs verantwortlich ist. Darüber hinaus können die Antwortgrößen stark variieren: von einem Single-Pixel-GIF mit nur wenigen Bytes über einen API-Aufruf, bei dem einige Kilobytes an Daten übermittelt werden, bis hin zu einem Softwarepaket mit mehreren Gigabyte.

Eine auf Byte-Werte beruhende Kennzahl spiegelt den Umfang der Nutzeraktivität insofern möglicherweise nur unzureichend wider oder geht unter. Die Anfrageaktivität liefert ein klareres Signal und lässt direktere Rückschlüsse auf die Nutzeraktivität zu. Das ist besonders wichtig, wenn man sich die Wiederherstellung der Verbindung nach einer Internetstörung anschaut und versucht, zu ermitteln, wann die Aktivität wieder das vor dem Ausfall registrierte, „erwartete“ Niveau erreicht hat.

Durch die Integration anfragebasierter Traffic-Informationen bei Radar wird lediglich die Art und Weise erweitert, in der die Daten bereits auf der Website verwendet werden. Alle Grafiken, Karten und Tabellen, die unter der Rubrik „Adoption & Usage“ (Einführung und Nutzung) von Radar präsentiert werden, beruhen auf einer Analyse des HTTP-Anfrage-Traffics, wobei Informationen aus Anfrage-Headern (wie HTTP-Version oder User Agent) oder Merkmale der zugrundeliegenden Verbindung (wie die IP-Version) genutzt werden.

Byte vs. Anfragen: Worin besteht der Unterschied?

In der aktuellen „HTTP traffic“-Ansicht werden die Byte gebündelt, die mit HTTP-Anfragen an die Content Delivery (CDN)-Dienste von Cloudflare vom ausgewählten Standort oder von der ausgewählten AS-Nummer (Autonomous System Number – ASN) in Verbindung stehen. In „Total traffic“ wird dieser HTTP-Datenverkehr zusammen mit dem Traffic erfasst, der mit anderen Cloudflare-Services in Zusammenhang steht, wozu unser DNS-Resolver 1.1.1.1, unser autoritativer DNS-Diensts, WARP und Spectrum zählen. (Spectrum, WARP und 1.1.1.1 übertragen zwar auch HTTP-Traffic, doch dessen Anteil ist für Radar nicht transparent und wird deshalb bei den Berechnungen des HTTP-Traffics nicht berücksichtigt.)

Die mit einer bestimmten Anfrage in Verbindung stehenden Byte beinhalten unter anderem die Größe der Anfrage, der mit der Antwort verbundenen Header und der Antwort selbst. Wie bereits erwähnt, kann die Größe einer als Antwort auf eine Anfrage übermittelte Datei stark variieren – abhängig davon, was angefordert wurde. Die Form der Kurven, die die HTTP-Anfragen und die HTTP-Byte darstellen, kann recht ähnlich sein. Doch die mögliche Variabilität der (gebündelten) Antwortgrößen führt unter Umständen zu erheblichen Abweichungen zwischen den beiden Kurven. Stellt eine Anwendung beispielsweise regelmäßig Anfragen im Hintergrund, um nach Updates zu suchen, würde die Verfügbarkeit und der anschließende Download einer großen Datei mit einem Softwareupdate zu einer Spitze bei der HTTP-Byte-Kurve führen, während das Muster bei den HTTP-Anfragen konstant bleiben würde.

Ein weiteres Beispiel ist das folgende Diagramm, das die Trends beim HTTP-Anfrage- und Byte-Traffic in Portugal für die erste Augustwoche zeigt. Der HTTP-Byte-Datenverkehr nimmt zunächst jeden Tag zwischen 08:00 Uhr und 11:00 Uhr MESZ zu. Anschließend verlangsamt sich der Anstieg bis etwa 21:00 Uhr MESZ stark, um dann wieder rasant anzusteigen und gegen 01:00 Uhr MESZ des Folgetags den Höhepunkt zu erreichen. Dies deutet darauf hin, dass die während des Arbeitstags abgerufenen Inhalte im Hinblick auf ihre Byte-Menge weniger umfangreich sind (etwa der API-Traffic, wie oben beschrieben), während der Datenverkehr am Abend eine größere Menge Byte umfasst (möglicherweise aufgrund des erhöhten Konsums von Medieninhalten). Im Gegensatz dazu verzeichnet der Anfrage-Traffic nach dem Beginn eines Anstiegs gegen 08:00 Uhr MESZ in der Regel drei aufeinanderfolge, ansteigende Spitzenwerte am Tag, und zwar jeweils gegen 12:00 Uhr, 16:00 Uhr und 01:00 Uhr MESZ. Diese Spitzen sind an Werktagen am ausgeprägtesten, aber auch am Wochenende immer noch deutlich sichtbar. Das lässt auf regelmäßige Muster der Nutzeraktivität zu diesen Zeiten schließen.

2493-8

Bei Betrachtung der Diagramme „HTTP requests & bytes“ auf Radar ist unbedingt zu beachten, dass dort zwei unterschiedliche Kennzahlen dargestellt werden und daher nur die Form ihrer Kurven über einen gewissen Zeitraum vergleichbar ist, nicht jedoch ihre relative Höhe. (Da beide Kennzahlen auf einer Skala von 0 bis 1 [Höchstwert] standardisiert wurden, werden die Kurven in dem Diagramm relativ zum maximalen standardisierten Wert jeder Kennzahl, einschließlich des vorherigen Zeitraums, skaliert.)

Fazit

Die Erweiterung von Cloudflare Radar um HTTP-Anfrage-Kennzahlen ermöglicht zusätzliche Einblicke in Traffic-Trends auf globaler, standort- und netzwerkbezogener Ebene und ergänzt somit die bestehenden Byte-basierten HTTP-Traffic-Kennzahlen. Diese neuen Kennzahlen, die aus dem Traffic der Kunden-Websites gewonnen werden, finden sich unter den Rubriken „Overview“ und „Traffic“ von Radar.

Neben den Trends beim HTTP-Traffic bietet Cloudflare Radar noch weitere Einblicke in Internetstörungen, Routing-Probleme, Angriffe, die Beliebtheit von Domains und die Internetqualität. Folgen Sie uns in den sozialen Netzwerken unter @CloudflareRadar (X), noc.social/@cloudflareradar (Mastodon) und radar.cloudflare.com (Bluesky), oder schreiben Sie uns eine E-Mail.

Wir schützen komplette Firmennetzwerke, helfen Kunden dabei, Internetanwendungen effizient zu erstellen, jede Website oder Internetanwendung zu beschleunigen, DDoS-Angriffe abzuwehren, Hacker in Schach zu halten, und unterstützen Sie bei Ihrer Umstellung auf Zero Trust.

Greifen Sie von einem beliebigen Gerät auf 1.1.1.1 zu und nutzen Sie unsere kostenlose App, die Ihr Internet schneller und sicherer macht.

Wenn Sie mehr über unsere Mission, das Internet besser zu machen, erfahren möchten, beginnen Sie hier. Sie möchten sich beruflich neu orientieren? Dann werfen Sie doch einen Blick auf unsere offenen Stellen.
Cloudflare Radar (DE)Trends (DE)Internet Traffic (DE)HTTPSConsumer Services (DE)

Folgen auf X

David Belson|@dbelson
Cloudflare|@cloudflare

Verwandte Beiträge

20. November 2024 um 22:00

Bigger and badder: how DDoS attack sizes have evolved over the last decade

If we plot the metrics associated with large DDoS attacks observed in the last 10 years, does it show a straight, steady increase in an exponential curve that keeps becoming steeper, or is it closer to a linear growth? Our analysis found the growth is not linear but rather is exponential, with the slope varying depending on the metric (rps, pps or bps). ...

06. November 2024 um 08:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....