订阅以接收新文章的通知:

使用 Cloudflare Radar 检测流量异常并发送通知

2023-09-26

8 分钟阅读时间
这篇博文也有 English日本語한국어繁體中文版本。

我们在 2022 年生日周期间推出了 Cloudflare Radar Outage Center (CROC),让社区了解 Cloudflare 流量数据中看到的互联网中断(包括服务中断和关闭)的最新情况。其中一些条目源于当地电信提供商或民间组织在社交媒体上发布的信息,其他条目则基于内部流量异常检测和警报工具。今天,我们将在 Cloudflare Radar 中添加该警报源,在检测到国家和网络级流量异常时在 CROC 上显示,并通过 API 提供该源。

Traffic anomalies and notifications with Cloudflare Radar

基于这一新功能以及我们最近在 Cloudflare Radar 上推出的路由泄漏路由劫持洞察,我们还推出了新的 Radar 通知功能,使您能够订阅有关流量异常、已确认的互联网服务中断、路由泄漏或路由劫持的通知。使用 Cloudflare 仪表板现有的通知功能,用户可以为一个或多个国家/地区或自治系统设置通知,并在相关事件发生时接收通知。通知可以通过电子邮件或 webhooks 发送,可用的发送方法因计划级别而有所不同

流量异常

互联网流量一般遵循相当规律的模式,每天的流量高峰和低谷大致相同。不过,虽然周末的流量模式看起来与平日相似,但其流量数量通常不同。同样,节假日或国家大事也会导致流量模式和流量数量与“平时”大相径庭,因为人们会改变他们的活动,花更多的时间在网下,或者人们会转向网络来源,获取有关该事件的信息或报道。这些流量变化可能具有新闻价值,我们在过去的 Cloudflare 博文中对其中一些事件进行了报道(查尔斯三世国王加冕复活节/逾越节/斋月巴西总统选举)。

然而,正如您通过阅读我们的博客文章和在社交媒体上关注 Cloudflare Radar 所了解的那样,流量的急剧下降才是令人担忧的原因。有些是由于恶劣天气或地震等自然灾害对基础设施造成的破坏,这实际上是不可避免的,但从通信的角度来看,及时了解这些事件对互联网连接的影响是非常有价值的。当专制政府下令关闭移动互联网连接或在全国范围内关闭所有互联网连接时,也会出现流量下降的情况。从人权角度来看,及时了解这类异常流量下降情况往往至关重要,因为互联网关闭往往被用作控制与外界通信的一种手段。

在过去的几个月中,Cloudflare Radar 团队一直在使用内部工具来识别流量异常,并将警报发布到专用的聊天空间以采取后续行动。与之配套的博文《杜绝离线:检测互联网中断》一文对我们的流量分析和异常检测方法进行了更深入的技术细节介绍。

许多这些内部流量异常警报最终都会导致在 Outage Center 建立条目以及在 Cloudflare Radar 发布社交媒体帖子。今天,我们将扩展 Cloudflare Radar Outage Center,并在发现这些异常时发布相关信息。如下图所示,新的流量异常表包括异常类型(位置或 ASN)、检测到异常的实体(国家/地区名称或自治系统)、开始时间、持续时间、验证状态和“操作”链接,用户可在相关实体流量页面上查看异常或订阅通知。(如果对检测到的异常进行人工审核,发现该异常存在于多个 Cloudflare 流量数据集中,以及/或者在 Georgia Tech 的 IODA 平台之类的第三方数据集中清晰可见,我们会将其标记为“已验证”。未经验证的异常可能是误报,也可能与 Netflows 收集问题有关,但我们会尽量减少这两种情况的发生。)

除此新表格外,我们还更新了 Cloudflare Radar Outage Center 地图,以突出显示我们检测到异常的位置,并在地图下方的新时间轴中将其置于更广泛的时间背景中。异常情况在地图上以橙色圆圈表示,可以通过右上角的切换按钮隐藏。双边框圆圈代表多个国家的汇总,放大该区域将最终显示与汇总中每个国家相关的异常点数量。将鼠标悬停在时间轴上的特定点上,会显示与之相关的服务中断或异常信息。

自 2022 年 9 月我们推出 Outage Center 和 API 以来,互联网服务中断信息一直通过 Radar API 提供,现在,流量异常也可通过 Radar API 端点提供。流量异常 API 请求和响应示例如下所示。

请求示例:

响应示例:

curl --request GET \ --url https://api.cloudflare.com/client/v4/radar/traffic_anomalies \ --header 'Content-Type: application/json' \ --header 'X-Auth-Email: '

通知概览

{
  "result": {
    "trafficAnomalies": [
      {
        "asnDetails": {
          "asn": "189",
          "locations": {
            "code": "US",
            "name": "United States"
          },
          "name": "LUMEN-LEGACY-L3-PARTITION"
        },
        "endDate": "2023-08-03T23:15:00Z",
        "locationDetails": {
          "code": "US",
          "name": "United States"
        },
        "startDate": "2023-08-02T23:15:00Z",
        "status": "UNVERIFIED",
        "type": "LOCATION",
        "uuid": "55a57f33-8bc0-4984-b4df-fdaff72df39d",
        "visibleInDataSources": [
          "string"
        ]
      }
    ]
  },
  "success": true
}

有关互联网“事件”(如流量下降或路由问题)的及时信息可能会引起多种受众的兴趣。客户服务或服务台客服可利用这些信息帮助诊断客户/用户对应用程序性能或可用性的投诉。同样,网络管理员也可以利用这些信息更好地了解其网络之外的互联网状况。民间社会组织可以利用这些信息为用于在冲突或不稳定地区维持通信和保护人权的行动计划提供信息。今天,我们还推出了新的通知功能,您可以订阅通知,以便在国家/地区或自治系统级别收到有关观察到的流量异常、确认的互联网服务中断、路由泄漏或路由劫持的通知。在下文中,我们将讨论如何订阅和配置通知,以及各类通知中包含的信息。

订阅通知

请注意,您需要登录 Cloudflare 仪表板才能订阅和配置通知。无需购买 Cloudflare 服务,只需一个经过验证的电子邮件地址即可建立帐户。虽然我们更希望不需要登录,但登录使我们能够利用 Cloudflare 现有的通知引擎,让我们不必专门花费时间和资源为 Radar 建立一个单独的通知引擎。如果您还没有 Cloudflare 帐户,请访问 https://dash.cloudflare.com/sign-up 创建一个。输入您的用户名和唯一的强密码,单击“注册”,然后按照验证电子邮件中的说明激活您的帐户。(激活帐户后,我们还建议启用双因素身份验证 (2FA) 作为额外的安全措施。)

设置并激活帐户后,就可以开始创建和配置通知了。第一步是在 Cloudflare Radar 的流量、路由和 Outage Center 部分查找通知(扩音器)图标,出现该图标即表示提供该指标的通知。如果您在国家/地区或 ASN 范围内的流量或路由页面上,则通知订阅将针对该实体。

在 Cloudflare Radar 的流量、路由和 Outage Center 部分查找此图标,即可开始设置通知。

在 Outage Center 中,单击互联网服务中断表项“操作”栏中的图标,即可订阅相关位置和/或 ASN 的通知。单击表格说明旁边的图标,订阅所有已确认互联网服务中断的通知。

在 Outage Center 中,单击流量异常表项“操作”栏中的图标,订阅相关实体的通知。单击表格描述旁边的图标,订阅所有流量异常的通知。

在国家/地區或 ASN 流量页面上,单击流量趋势图说明旁边的图标,订阅影响所选国家/地區或 ASN 的流量异常或互联网服务中断的通知。

在国家/地區或 ASN 路由页面上,单击说明旁边的图标,订阅与所选国家/地區或 ASN 相关的路由泄漏或来源劫持的通知。

在路由页面上的路由泄漏或来源劫持表中,单击表项中的图标以订阅所引用国家/地區和/或 ASN 的路由泄漏或来源劫持通知。

点击通知图标后,您将进入 Cloudflare 登录页面。输入您的用户名和密码(如果需要,输入双因素身份验证代码),登录后,您将看到“添加通知”页面,该页面已预先填入从 Radar 上的来源页传递过来的关键信息,包括相关地点和/或 ASN。(如果您已经登录 Cloudflare,那么在点击 Radar 上的通知图标后,您将直接进入“添加通知”页面)。在该页面,您可以为通知命名,添加可选描述,并根据需要调整位置和 ASN 过滤器。输入要发送通知的电子邮件地址,或选择已建立的 webhook 目标(如果您的帐户已启用 webhook)。

单击“保存”,通知就会添加到帐户的“通知概览”页面。

您还可以直接在 Cloudflare 中创建和配置通知,而无需从 Radar 页面上的链接开始。为此,请登录 Cloudflare,然后从左侧导航栏中选择“通知”。这将带您进入下图所示的“通知”页面。单击“添加”按钮添加新通知。

在下一页面上,从提供通知的 Cloudflare 产品列表中搜索并选择“Radar”。

在随后的“添加通知”页面上,您可以从头开始创建和配置通知。可以在“通知我:”字段中选择事件类型,并且可以在相应的“过滤依据(可选)”字段中搜索和选择位置和 ASN。请注意,如果未选择过滤器,则将为所选类型的所有事件发送通知。添加一个或多个电子邮件地址以发送通知,或者选择一个 Webhook 目标(如果可用),然后单击“保存”将其添加到为您的帐户配置的通知列表中。

值得一提的是,高级用户还可以通过 Cloudflare API 通知策略端点创建和配置通知,但我们不会在本博文中回顾这一过程。

通知信息

以下是各种类型事件的通知电子邮件示例。每封电子邮件都包含关键信息,如事件类型、受影响的实体和开始时间,根据事件类型,还包括一些其他相关信息。每封电子邮件都包括明文和 HTML 版本,以适应多种类型的电子邮件客户端。(最终产生的电子邮件可能与以下示例略有不同。)

互联网服务中断通知电子邮件包括受影响实体的信息、服务中断原因描述、开始时间、范围(如有)和服务中断类型(全国、网络、区域或平台),以及在 Radar 流量图中查看该服务中断的链接。

流量异常通知电子邮件仅包括受影响实体的信息和开始时间,以及在 Radar 流量图中查看该异常的链接。

BGP 劫持通知电子邮件包括有关劫持和受害者 ASN、受影响的 IP 地址前缀、包含泄漏路由的 BGP 消息(公告)数量、宣布劫持的对等互连数量、检测时间、事件为真正劫持的置信度、相关标记以及在 Radar 上查看该劫持事件详情的链接等信息。

BGP 路由泄露通知电子邮件包括以下信息:了解到泄露路由的 AS、泄露路由的 AS、接收和传播泄露路由的 AS、受影响的前缀数、受影响的原始 AS 数、看到路由泄漏的 BGP 路由收集器对等方的数量、检测时间,以及在 Radar 上查看该路由泄漏事件详细信息的链接。

如果向 webhook 发送通知,就可以将这些通知集成到 Slack 等工具中。例如,按照 Slack API 文档中的说明,只需几分钟就能创建一个简单的集成,并生成如下所示的消息。

总结

Cloudflare 对互联网的独特视角使我们能够近乎实时地洞察流量的意外下降以及潜在的问题路由事件。在过去的一年里,我们一直在与您分享这些见解,但您必须访问 Cloudflare Radar 才能了解是否有新的“事件”发生。随着通知功能的推出,我们将自动向您发送您感兴趣的最新事件信息。

我们建议您访问 Cloudflare Radar,熟悉我们发布的有关流量异常已确认的互联网服务中断BGP 路由泄漏BGP 来源劫持的信息。在 Radar 上的相关图表上寻找通知图标,并通过工作流程设置和订阅通知。(如果您还没有 Cloudflare 帐户,请不要忘记注册)。请向我们发送有关通知的反馈意见,帮助我们持续改进这些功能,并让我们知道您如何以及在何处将 Radar 通知集成到您自己的工具/工作流/组织中。

请在以下社交媒体上关注 Cloudflare Radar:@CloudflareRadar (Twitter)、cloudflare.social/@radar (Mastodon) 和 radar.cloudflare.com (Bluesky)。

我们保护整个企业网络,帮助客户高效构建互联网规模的应用程序,加速任何网站或互联网应用程序抵御 DDoS 攻击,防止黑客入侵,并能协助您实现 Zero Trust 的过程

从任何设备访问 1.1.1.1,以开始使用我们的免费应用程序,帮助您更快、更安全地访问互联网。要进一步了解我们帮助构建更美好互联网的使命,请从这里开始。如果您正在寻找新的职业方向,请查看我们的空缺职位
Birthday WeekCloudflare RadarOutageBGPInternet TrafficNotifications

在 X 上关注

David Belson|@dbelson
Cloudflare|@cloudflare

相关帖子

2024年11月06日 08:00

Exploring Internet traffic shifts and cyber attacks during the 2024 US election

Election Day 2024 in the US saw a surge in cyber activity. Cloudflare blocked several DDoS attacks on political and election sites, ensuring no impact. In this post, we analyze these attacks, as well Internet traffic increases across the US and other key trends....