Cloudflare Radar 2023年度回顧報(bào)告（下）

·綜合2023年的數(shù)據(jù)，全球只有三分之一的IPv6請求是通過IPv6發(fā)出的。而在印度，這一比例達(dá)到了70%。

IPv6早在1998年就以某種方式出現(xiàn)了，其擴(kuò)展的地址空間可以更好地支持過去25年來呈指數(shù)級增長的互聯(lián)網(wǎng)連接設(shè)備。在此期間，可用的IPv4空間已經(jīng)耗盡，導(dǎo)致連接提供商不得不采用網(wǎng)絡(luò)地址轉(zhuǎn)換等解決方案，而云和托管提供商則以每個地址高達(dá)50美元的價(jià)格購買IPv4地址空間塊。IPv6還為網(wǎng)絡(luò)提供商帶來了許多其他好處，如果實(shí)施正確，最終用戶應(yīng)該能夠清晰了解其采用情況。

Cloudflare一直是IPv6的積極倡導(dǎo)者，可以追溯到2011年我們一周歲生日時，當(dāng)時我們推出了自動IPv6網(wǎng)關(guān)，為我們的所有客戶提供了免費(fèi)的IPv6支持。僅僅幾年后，我們就默認(rèn)為所有客戶啟用了IPv6支持。（雖然默認(rèn)啟用，但出于各種原因，并非所有客戶都選擇保持啟用狀態(tài)。）但是，這種支持只是完成了推動IPv6采用的一半努力，另一半則是最終用戶連接的支持。（從技術(shù)上講，過程比這要更復(fù)雜一些，但這是兩個基本要求。）通過分析向Cloudflare發(fā)出的每個請求所使用的IP版本，我們可以深入了解全年內(nèi)不同協(xié)議版本的流量分布情況。

由于印度電信運(yùn)營商Reliance Jio幾乎完全采用了IPv6，印度用戶70%的雙棧請求是通過IPv6發(fā)出的。緊隨印度之后的是馬來西亞，由于該國主要互聯(lián)網(wǎng)提供商對IPv6的采用率很高，2023年期間該國66%的雙棧請求是通過IPv6發(fā)出的。包括沙特阿拉伯、越南、希臘、法國、烏拉圭和泰國在內(nèi)的其他國家，平均有一半以上的雙棧請求是通過IPv6發(fā)出的。相比之下，在2023年期間，約有40個國家/地區(qū)通過IPv6提出的雙棧請求不到1%。在IPv6作為標(biāo)準(zhǔn)草案首次發(fā)布25年之后，如此多的國家/地區(qū)在采用IPv6方面仍然滯后，這令人十分驚訝。

印度的IPv4/IPv6流量分布情況

·排名前10位的國家的平均下載速度均超過200 Mbps，其中冰島在衡量互聯(lián)網(wǎng)質(zhì)量的全部四項(xiàng)指標(biāo)上都取得了最佳成績。

即使沒有面臨互聯(lián)網(wǎng)中斷，世界各地的用戶也經(jīng)常面臨互聯(lián)網(wǎng)連接性能不佳的問題，無論是由于低速、高延遲還是這些因素的組合。盡管互聯(lián)網(wǎng)提供商不斷發(fā)展其服務(wù)組合，提供更高的連接速度和更低的延遲，以支持在線游戲和視頻會議等用例的增長，但由于成本、可用性或其他問題，消費(fèi)者的采用情況往往參差不齊。通過匯總2023年期間進(jìn)行的speed.cloudflare.com測試的結(jié)果，我們可以從地理角度了解連接質(zhì)量指標(biāo)，包括平均下載和上傳速度、平均空閑和加載延遲以及測量值的分布情況。

在冰島，超過85%的互聯(lián)網(wǎng)連接通過光纖進(jìn)行，在整體互聯(lián)網(wǎng)質(zhì)量指標(biāo)最佳的國家排名中，該國的排名也反映出了這一點(diǎn)。因?yàn)樗俣葴y試結(jié)果顯示，那里的提供商提供最高的平均速度（282.5 Mbps下載，179.9 Mbps上傳）和最低平均延遲（空閑9.6毫秒，加載77.1毫秒）。下面的直方圖顯示，雖然有大量的下載速度在0-100 Mbps之間，但也有大量的測試測量到更高的速度，包括一些超過1 Gbps的速度。

包括西班牙、葡萄牙和丹麥在內(nèi)的西歐國家在多個互聯(lián)網(wǎng)質(zhì)量指標(biāo)中也名列前十。

冰島下載和上傳速度測試結(jié)果分布情況

·全球40%以上的流量來自移動設(shè)備。在80多個國家/地區(qū)中，大部分流量都來自移動設(shè)備。

在過去15年左右的時間里，移動設(shè)備變得越來越無處不在，成為我們個人和職業(yè)生活中不可或缺的設(shè)備，這在很大程度上要?dú)w功于它們能夠讓我們隨時隨地訪問互聯(lián)網(wǎng)。在一些國家/地區(qū)，移動設(shè)備主要通過Wi-Fi連接到互聯(lián)網(wǎng)，而另一些國家/地區(qū)則是“移動優(yōu)先”，主要通過4G/5G服務(wù)訪問互聯(lián)網(wǎng)。

通過分析向Cloudflare發(fā)出的每個請求所報(bào)告的用戶代理所包含的信息，我們可以將其分類為來自移動設(shè)備、桌面設(shè)備或其他類型的設(shè)備。在全球范圍內(nèi)匯總?cè)甑倪@一分類，我們發(fā)現(xiàn)42%的流量來自移動設(shè)備，58%來自筆記本電腦和“經(jīng)典”PC等桌面設(shè)備。這些流量份額與2022年測得的數(shù)據(jù)一致。贊比亞79%的流量來自移動設(shè)備，使其成為2023年移動設(shè)備流量份額最大的國家。其他移動設(shè)備流量超過50%的國家/地區(qū)集中在中東/非洲、亞太地區(qū)和南美洲/中美洲。相比之下，芬蘭是桌面設(shè)備流量份額最高的國家之一，達(dá)到80%。

所選國家桌面設(shè)備和移動設(shè)備流量分布情況

PART 3

安全

·在全球流量中，僅有不到6%的流量因被Cloudflare系統(tǒng)視為潛在惡意流量或因客戶自定義規(guī)則的原因而被緩解。在美國，有3.65%的流量被緩解，而在韓國，這一比例為8.36%。

惡意機(jī)器人通常用于攻擊網(wǎng)站和應(yīng)用程序。為了保護(hù)客戶免受這些威脅，Cloudflare使用DDoS緩解技術(shù)或Web應(yīng)用程序防火墻（WAF）托管規(guī)則來緩解（阻止）此攻擊流量。然而，出于各種其他原因，客戶也可能選擇讓Cloudflare使用其他技術(shù)來緩解流量，例如速率限制請求，或阻止來自給定位置的所有流量（即使它不是惡意的）。通過分析2023年全年的Cloudflare網(wǎng)絡(luò)流量，我們得出了被緩解流量（無論出于何種原因）的總體份額，以及作為DDoS攻擊或被WAF托管規(guī)則緩解的流量份額。

總體而言，只有不到6%的全球流量因潛在惡意或客戶定義的原因而被Cloudflare系統(tǒng)緩解，而其中只有約2%的流量因DDoS/托管WAF而被緩解。百慕大等一些國家的兩個指標(biāo)的百分比非常接近，而巴基斯坦和南非等其他國家的趨勢線之間的差距要大得多。

巴基斯坦的流量緩解趨勢

·全球三分之一的機(jī)器人流量來自美國，同時超過11%的全球機(jī)器人流量來自Amazon Web Services。

機(jī)器人流量是指任何非人類的互聯(lián)網(wǎng)流量，監(jiān)控機(jī)器人流量層面可以幫助網(wǎng)站和應(yīng)用程序所有者發(fā)現(xiàn)潛在的惡意活動。當(dāng)然，機(jī)器人也會有所幫助，Cloudflare維護(hù)著一份經(jīng)過驗(yàn)證的機(jī)器人列表，以幫助保持互聯(lián)網(wǎng)的健康。經(jīng)過驗(yàn)證的機(jī)器人包括那些用于搜索引擎索引、性能測試和可用性監(jiān)控的機(jī)器人。無論意圖如何，我們都想看看機(jī)器人流量來自哪里，我們可以使用請求的IP地址來識別與發(fā)出請求的機(jī)器人相關(guān)的網(wǎng)絡(luò)（自治系統(tǒng)）和國家/地區(qū)。不出所料，我們發(fā)現(xiàn)，云平臺是機(jī)器人流量的主要來源之一。原因可能包括以下幾點(diǎn)：計(jì)算資源的自動供應(yīng)/停用非常容易，而且成本相對較低；云平臺的地理覆蓋范圍十分廣泛；以及高帶寬連接的可用性。

在全球范圍內(nèi)，近12%的機(jī)器人流量來自Amazon Web Services，超過7%來自Google。還有一部分來自消費(fèi)者互聯(lián)網(wǎng)服務(wù)提供商，其中美國寬帶提供商Comcast提供了超過1.5%的全球機(jī)器人流量。大量的機(jī)器人流量來自美國，占全球機(jī)器人流量的近三分之一，是德國的四倍，后者僅占8%。在美國，Amazon的機(jī)器人流量總份額僅次于Google。

按來源網(wǎng)絡(luò)劃分的全球機(jī)器人流量分布情況

按來源國劃分的全球機(jī)器人流量分布情況

·在全球范圍內(nèi)，金融業(yè)是受攻擊最多的行業(yè)，但全年和全球范圍內(nèi)，受攻擊流量激增的時間和目標(biāo)行業(yè)差別很大。

攻擊目標(biāo)行業(yè)通常會隨著時間的推移而發(fā)生變化，具體取決于攻擊者的意圖。他們可能試圖通過在繁忙的購物期間攻擊電子商務(wù)網(wǎng)站來造成經(jīng)濟(jì)損失，或者他們可能試圖通過攻擊政府相關(guān)網(wǎng)站來發(fā)表政治聲明。為了識別2023年期間針對行業(yè)的攻擊活動，我們分析了在其客戶記錄中具有相關(guān)行業(yè)和垂直領(lǐng)域的客戶的緩解流量。每周按來源國家/地區(qū)匯總18個目標(biāo)行業(yè)的緩解流量。

在全球范圍內(nèi)，金融業(yè)在這一年中受到的攻擊最多，不過我們可以看到，周與周之間有很大的波動。有趣的是，一些集群現(xiàn)象很明顯，因?yàn)榻鹑跇I(yè)（包括為移動支付、投資/交易和加密貨幣提供網(wǎng)站和應(yīng)用程序的組織）也是一些歐洲國家（包括奧地利、瑞士、法國、英國、愛爾蘭、意大利和荷蘭）以及北美的加拿大、美國和墨西哥的首要攻擊目標(biāo)。健康產(chǎn)業(yè)（包括生產(chǎn)運(yùn)動器材的公司和醫(yī)療檢測設(shè)備制造商）是多個非洲國家的首要目標(biāo)，包括貝寧、科特迪瓦、喀麥隆、埃塞俄比亞、塞內(nèi)加爾和索馬里。

但總體而言，今年開局緩慢，沒有哪個行業(yè)的流量緩解量超過8%。隨著第一季度的推進(jìn)，在1月下旬，專業(yè)服務(wù)和新聞/媒體/出版組織緩解流量的份額激增，健康行業(yè)在2月中旬出現(xiàn)了跳躍式增長，在3月初，法律和政府組織的緩解流量急劇增加。藝術(shù)/娛樂/休閑行業(yè)類別的客戶成為了一起為期數(shù)周的攻擊活動的目標(biāo)，在3月26日、4月2日和4月9日這幾周內(nèi)，流量減少了20%以上。專業(yè)服務(wù)行業(yè)的緩解流量份額在8月6日這一周達(dá)到了38.4%，幾乎是1月份峰值的兩倍，是這一年的整體峰值。不同國家/地區(qū)出現(xiàn)峰值的時間和行業(yè)差異很大。

2023年8月6日當(dāng)周按行業(yè)劃分的全球緩解流量份額

·盡管Log4j是一個出現(xiàn)時間已久的漏洞，但在2023年期間仍然是攻擊的首要目標(biāo)。然而，HTTP/2 Rapid Reset作為一個新的重大漏洞出現(xiàn)，在一開始就導(dǎo)致了大量破紀(jì)錄規(guī)模的攻擊。

2023年8月，我們發(fā)布了一篇博文，根據(jù)Cloudflare所觀察到的流量，探討了針對聯(lián)合網(wǎng)絡(luò)安全咨詢中列出的2022年最常被利用的漏洞。這些漏洞包括基于Log4j Java的日志記錄實(shí)用程序、Microsoft Exchange、Atlassian的Confluence平臺、VMWare和F5的BIG-IP流量管理系統(tǒng)中的漏洞。盡管這些是較舊的漏洞，但攻擊者在2023年仍在積極針對和利用這些漏洞，部分原因是企業(yè)在遵循網(wǎng)絡(luò)安全咨詢中提出的建議方面經(jīng)常進(jìn)展緩慢。我們針對這篇博文更新了所做的分析，僅包含2023年的攻擊活動。

不同地區(qū)針對不同漏洞的攻擊活動各不相同，有些地區(qū)的攻擊只針對部分漏洞。從全球范圍來看，針對Log4j的攻擊數(shù)量一直比針對其他漏洞的攻擊數(shù)量要少，而且在10月最后一周和11月中下旬出現(xiàn)了高峰；針對Atlassian漏洞的攻擊活動在7月下旬有所增加，并在本年度其余時間呈緩慢上升趨勢。從國家/地區(qū)層面來看，Log4j通常是最受針對的漏洞。在法國、德國、印度和美國等國家/地區(qū)，相關(guān)的攻擊量在全年都保持在一個較高的水平，而其他國家/地區(qū)，這些攻擊在一個國家/地區(qū)的圖表中明顯地表現(xiàn)出罕見的、短暫的峰值，穿插在其他低水平的攻擊量之間。

最常利用漏洞的全球攻擊活動趨勢

我們還預(yù)計(jì)，到2024年，攻擊者將繼續(xù)針對10月份披露的HTTP/2 Rapid Reset漏洞。該漏洞（有關(guān)詳細(xì)信息，請參閱CVE-2023-44487）濫用了HTTP/2協(xié)議的請求取消功能中的潛在弱點(diǎn)，導(dǎo)致目標(biāo)Web/代理服務(wù)器上的資源耗盡。8月底到10月初期間，我們發(fā)現(xiàn)了多起針對該漏洞的攻擊。在這些攻擊中，平均攻擊速率為每秒3000萬個請求（rps），其中近90個請求峰值超過1億rps，規(guī)模最大的一次達(dá)到2.01億rps。這場破紀(jì)錄規(guī)模的攻擊比我們之前記錄的最大規(guī)模攻擊高出近3倍。

關(guān)于此漏洞的一個值得注意的問題是，攻擊者能夠利用僅由20,000個受感染系統(tǒng)組成的僵尸網(wǎng)絡(luò)發(fā)起如此大規(guī)模的攻擊。這比當(dāng)今一些包含數(shù)十萬或數(shù)百萬臺主機(jī)的大型僵尸網(wǎng)絡(luò)要小得多。由于平均Web流量估計(jì)為每秒10到30億個請求，因此使用此方法的攻擊可以將整個Web的請求集中在一些毫無警戒的目標(biāo)上。

超體量DDoS攻擊的HTTP/2 Rapid Reset活動

·1.7%的TLS 1.3流量使用后量子加密

后量子是指一組新的加密技術(shù)，可以保護(hù)數(shù)據(jù)免受敵人的攻擊，并能夠捕獲和存儲當(dāng)今的數(shù)據(jù)，以便將來由足夠強(qiáng)大的量子計(jì)算機(jī)解密。Cloudflare研究團(tuán)隊(duì)自2017年以來一直在探索后量子密碼學(xué)。

2022年10月，我們默認(rèn)在邊緣啟用后量子密鑰協(xié)議，但使用該協(xié)議需要瀏覽器的支持。Google的Chrome瀏覽器于2023年8月開始慢慢啟用支持，我們預(yù)計(jì)其支持將在2024年繼續(xù)增長，其他瀏覽器也將隨著時間的推移增加支持。2023年9月，我們宣布針對入站和出站連接以及許多內(nèi)部服務(wù)全面推出后量子加密技術(shù)，并預(yù)計(jì)在2024年底之前完成所有內(nèi)部服務(wù)的升級。

在8月份首次啟用支持后，Chrome開始增加使用后量子加密技術(shù)的瀏覽器（版本116及更高版本）數(shù)量，從而實(shí)現(xiàn)了逐步增長，并在11月8日出現(xiàn)了大幅增長。正是由于這些舉措，在11月底，使用后量子加密的TLS 1.3流量的比例達(dá)到了1.7%。隨著Chrome瀏覽器未來的更新，以及其他瀏覽器增加對后量子加密的支持，我們預(yù)計(jì)這一比例將在2024年繼續(xù)快速增長。

后量子加密TLS 1.3流量的增長趨勢

·欺騙性鏈接和勒索企圖是惡意電子郵件中最常見的兩類威脅。

作為排名第一的商業(yè)應(yīng)用程序，電子郵件對于攻擊者來說是進(jìn)入企業(yè)網(wǎng)絡(luò)的一個非常有吸引力的切入點(diǎn)。有針對性的惡意電子郵件可能會試圖冒充合法發(fā)件人、嘗試讓用戶點(diǎn)擊欺騙性鏈接或包含危險(xiǎn)附件以及其他類型的威脅。Cloudflare Area 1 Email Security可保護(hù)客戶免受基于電子郵件的攻擊，包括通過針對性惡意電子郵件進(jìn)行的攻擊。2023年，在Cloudflare Area 1分析的電子郵件中，平均有2.65%被發(fā)現(xiàn)是惡意的。根據(jù)每周匯總情況，2月初、9月初和10月下旬分別出現(xiàn)超過3.5%、4.5%和超過5%的峰值。

全球惡意電子郵件占比趨勢

在使用惡意電子郵件實(shí)施攻擊時，攻擊者會使用各種技術(shù)，我們將其稱為威脅類別。Cloudflare的《2023年網(wǎng)絡(luò)釣魚威脅報(bào)告》對這些類別進(jìn)行了詳細(xì)定義和探討。對惡意電子郵件的分析表明，郵件可能包含多種類型的威脅，這凸顯了對全面電子郵件安全解決方案的需求。通過探索這些類別的威脅活動趨勢，我們發(fā)現(xiàn)，在全年按周匯總的威脅活動中，多達(dá)80%的郵件包含欺騙性鏈接。

然而，攻擊者似乎在8月份開始轉(zhuǎn)變策略，因?yàn)榘垓_性鏈接的電子郵件比例開始下降，而提出勒索收件人的比例開始上升。到10月底和11月，這兩類威脅的位置發(fā)生了互換，如下圖右側(cè)所示，在分析的惡意電子郵件中，近80%包含勒索威脅，而只有20%包含欺騙性鏈接。不過，這種勒索活動可能只是曇花一現(xiàn)，因?yàn)槠浔壤陆档乃俣葞缀鹾蜕仙乃俣纫粯涌?。身份欺騙和憑據(jù)收集也是常見的威脅，不過在這一年中發(fā)現(xiàn)這兩種威脅的電子郵件所占比例逐漸下降。

惡意電子郵件的全球威脅類別趨勢

·2023年期間，以RPKI有效路由份額衡量的路由安全性在全球范圍內(nèi)得到改善。沙特阿拉伯、阿拉伯聯(lián)合酋長國和越南等國的路由安全性顯著提高。

邊界網(wǎng)關(guān)協(xié)議（BGP）是互聯(lián)網(wǎng)的路由協(xié)議，用于在網(wǎng)絡(luò)之間傳遞路由，使流量能夠在源和目的地之間流動。然而，由于它依賴于網(wǎng)絡(luò)之間的信任，因此對等點(diǎn)之間共享的不正確信息（無論是有意還是無意）都可能會將流量發(fā)送到錯誤的位置，從而可能產(chǎn)生惡意結(jié)果。資源公鑰基礎(chǔ)設(shè)施（RPKI）是一種簽名記錄的加密方法，它將BGP路由公告與正確的來源AS編號相關(guān)聯(lián)。簡而言之，它提供了一種方法來確保所共享的信息最初來自允許這樣做的網(wǎng)絡(luò)。（請注意，這只是實(shí)現(xiàn)路由安全的挑戰(zhàn)的一半，因?yàn)榫W(wǎng)絡(luò)提供商還需要驗(yàn)證這些簽名并過濾掉無效的公告。）在美國，聯(lián)邦政府認(rèn)識到路由安全的重要性，聯(lián)邦通信委員會于7月31日舉辦了“邊境網(wǎng)關(guān)協(xié)議安全研討會”。

Cloudflare一直是路由安全的堅(jiān)定支持者，并采取了一系列措施，包括：作為MANRS CDN和Cloud Programme的創(chuàng)始參與者；為網(wǎng)絡(luò)運(yùn)營商發(fā)布RPKI工具包；提供一個公共工具，使用戶能夠測試其互聯(lián)網(wǎng)提供商是否安全地實(shí)施了BGP；以及今年夏天在FCC研討會上發(fā)表的演講。

在Cloudflare Radar上7月份發(fā)布的新路由頁面的基礎(chǔ)上，我們分析了RIPE NCC的RPKI每日存檔中的數(shù)據(jù)，以確定RPKI有效路由（而不是那些無效或狀態(tài)未知的路由公告）的份額，以及這些份額在2023年期間的變化情況。自2023年初以來，RPKI有效路由的全球份額增長至近45%，較2022年底上升了6個百分點(diǎn)。在國家/地區(qū)層面，我們關(guān)注的是與給定國家/地區(qū)相關(guān)的自治系統(tǒng)公告的路由。在美國，F(xiàn)CC對路由安全的日益關(guān)注可以說是有道理的，因?yàn)橹挥胁坏饺种坏穆酚墒荝PKI有效的。雖然這明顯好于韓國（韓國公告的路由中只有不到1%是RPKI有效的），但它明顯落后于越南，越南的份額在今年上半年增加了35個百分點(diǎn)，達(dá)到90%。

越南的RPKI有效路由增長

總結(jié)

在Cloudflare Radar 2023年度回顧中，我們試圖通過趨勢圖和匯總統(tǒng)計(jì)提供動態(tài)的互聯(lián)網(wǎng)快照，提供有關(guān)互聯(lián)網(wǎng)流量、互聯(lián)網(wǎng)質(zhì)量和互聯(lián)網(wǎng)安全的獨(dú)特視角，以及這些領(lǐng)域的關(guān)鍵指標(biāo)在世界各地的差異。

正如我們在簡介中所說，我們強(qiáng)烈建議您訪問Cloudflare Radar 2023年年度回顧網(wǎng)站，探索與關(guān)注的指標(biāo)、國家/地區(qū)和行業(yè)相關(guān)的趨勢，并考慮它們將會如何影響您的企業(yè)及組織，以便您為2024年做好相應(yīng)準(zhǔn)備。

致謝

正如我們?nèi)ツ晁赋龅?，為我們的年度回顧提供?shù)據(jù)、網(wǎng)站和內(nèi)容確實(shí)需要團(tuán)隊(duì)的努力，在此我要感謝那些為今年的工作做出貢獻(xiàn)的團(tuán)隊(duì)成員。感謝：Sabina Zejnilovic、Jorge Pacheco、Carlos Azevedo（數(shù)據(jù)科學(xué)）；Arun Chintalapati、Reza Mohammady（設(shè)計(jì)）；Vasco Asturiano、Nuno Pereira、Tiago Dias（前端開發(fā)）；Jo?o Tomé（最受歡迎的互聯(lián)網(wǎng)服務(wù)）；以及Davide Marquês、Paula Tavares、Celso Martinho（項(xiàng)目/工程管理）和無數(shù)其他同事的回答、編輯和想法。

我們保護(hù)整個企業(yè)網(wǎng)絡(luò)，幫助客戶高效構(gòu)建互聯(lián)網(wǎng)規(guī)模應(yīng)用，加速任何網(wǎng)站或互聯(lián)網(wǎng)應(yīng)用，抵御DDoS攻擊，阻止黑客，并為您的Zero Trust之旅提供協(xié)助。

從任何設(shè)備訪問1.1.1.1，使用我們的免費(fèi)應(yīng)用加速和保護(hù)您的互聯(lián)網(wǎng)。