Cloudflare 的日志记录服务出现故障,导致大量客户数据丢失
Cloudflare 在周二的一篇文章中承认,由于一次存在缺陷的软件更新,11 月 14 日大约有 3.5 小时,其 Cloudflare Logs 服务没有将其收集的数据发送给客户,大约 55% 的日志丢失了。
在一次对日志打包服务 Logpush 的更新后, Cloudflare 员工注意到了这个问题,并在不到五分钟的时间内回滚了更改。但该事件触发了日志收集服务 Logfwdr 中的另一个错误,这意味着在类似 Logpush 混乱的情况下,所有客户的所有日志事件都将被推送到系统中,而不仅仅是那些配置了 Logpush 作业的客户。由此产生的信息洪水导致了数小时的服务中断和日志文件的丢失。
—— The Register,Cloudflare
俄罗斯建议企业停止使用 Cloudflare 的服务
当地时间11月7日,俄罗斯公共通信网络监控中心建议企业停止使用 Cloudflare 的 CDN 服务。该政府机构指出,Cloudflare 10月份在其服务器上默认启用了 TLS ECH 扩展,该技术允许绕过对俄罗斯政府禁止资源的访问限制。使用该技术违反了俄罗斯法律,并且会被反威胁技术手段 (TSPU) 系统屏蔽,大多数俄罗斯电信运营商已经部署 TSPU。该机构在其官网声明中表示:“建议信息资源所有者禁用 TLS ECH 扩展,或者更正确地使用国内 CDN 服务,以确保资源可靠、安全的运行并防止计算机攻击。”并建议企业使用国内替代品“国家 DDoS 攻击应对系统” (НСПА)。
—— 俄罗斯公共通信网络监控中心
网站使用 Cloudflare 可能会阻止RSS用户
在 Cloudflare 的仪表板中,可以找到旨在阻止自动化流量进入网站的工具。特别是“自动程序攻击模式”和下面的“阻止 AI 自动程序”选项。启用后,这些功能最终会阻止通过 RSS 阅读器访问网站的用户,即使 RSS 阅读器是合法的并且不是恶意自动程序。当 RSS 阅读器尝试读取网站时,Cloudflare 会向其提出许多阅读器无法完成的交互式质询。在其他情况下,Cloudflare 会无缘无故地阻止 RSS 阅读器访问网站。解决 Cloudflare 阻止 RSS 阅读器访问网站的唯一方法是直接联系站长并要求制定自定义规则来解除阻止。
—— OpenRSS
Cloudflare 阻挡了创世界纪录的 3.8 Tbps DDoS 攻击
自 9 月初以来,Cloudflare 的 DDoS 保护系统一直在抵御为期一个月的超大容量 L3/4 DDoS 攻击。Cloudflare 的防御系统在整个月内缓解了超过一百次超大容量 L3/4 DDoS 攻击,其中许多攻击超过每秒 20 亿个数据包 (Bpps) 和每秒 3 兆兆位 (Tbps)。最大的攻击峰值为 3.8 Tbps——这是目前公开披露的最大规模攻击。检测和缓解是完全自主的。
此次攻击活动针对的是金融服务、互联网和电信等行业的多个客户。此次攻击活动的目标是带宽饱和以及在线应用程序和设备的资源耗尽。高数据包速率攻击似乎源自多种类型的受感染设备,包括 MikroTik 设备、DVR 和 Web 服务器,这些设备协同工作,向目标发送大量流量。高比特率攻击似乎源自大量受感染的华硕家用路由器,可能利用了Censys 最近发现的 CVE 9.8 (严重) 漏洞。
—— Cloudflare
Cloudflare 重新开始推出 ECH 功能并推出 Zstandard 压缩和 HTTP/3 优先级特性
Cloudflare 今天通过博客更新了多项网络架构重大改进。加密客户端问候 (ECH) 是 ESNI 的后继者,可屏蔽用于协商 TLS 握手的服务器名称指示 (SNI),防止中间人窥探用户正在访问的网站。每当用户访问启用了 ECH 的 Cloudflare 网站时,除了用户、Cloudflare 和网站所有者之外,没有人能够确定访问了哪个网站。Cloudflare 称其弥补了互联网隐私最后的重大缺陷。该特性于2023年9月首次启用,数星期后因兼容性问题而被全局禁用。在与浏览器厂商合作解决该问题后,今天该特性已开始重新开始推出,默认对所有免费用户启用,付费用户可以从控制面板手动启用。
Cloudflare 还为所有用户启用了 Zstandard (zstd) 压缩算法,其数据压缩速度比 Brotli 快 42%,同时保持几乎相同的压缩级别。与 GZIP 相比,Zstandard 还将文件大小减少了 11.3%,同时保持了相当的速度。在第四季度,Cloudflare 将启用 HTTP/3 优先级支持。HTTP/3 优先级旨在通过智能管理向用户提供 Web 资源的顺序来提高网页加载的效率和速度。
—— Cloudflare 博客
CloudFlare WARP 支持 MASQUE 协议
近日,CloudFlare WARP 客户端更新后带来了 MASQUE 协议支持,用户可以在客户端设置菜单中进行切换。MASQUE 是基于 HTTP/3 和 QUIC 的新协议,能高效代理 IP 和 UDP 流量,同时保持性能和隐私。该协议还将使 WARP 的流量看起来像 HTTPS,以避免被防火墙检测和阻止,并符合 FIPS 标准的加密。
—— CloudFlare
Cloudflare 发现近7%的互联网流量是恶意的
Cloudflare 最新的应用安全报告显示,目前有近7%的互联网流量被视为恶意流量,这比去年有显著增长。全球地缘政治的不确定性和活跃的选举周期导致恶意互联网活动有所增加。DDoS 攻击仍然是针对 Web 应用程序的最普遍威胁。报告称,大约1/3的互联网流量是自动化的,其中93%的 Bot 流量可能是恶意的,例如发起 DDoS 攻击或试图通过暴力破解或凭证填充来接管帐户。目前 API 流量占所有互联网流量的60%。企业高达1/4的 API 端点未被记录,构成安全隐患。今年第一季度,Cloudflare 平均每天拦截2090亿次网络威胁,比去年增长86.6%。
—— Cloudflare
Cloudflare 推出阻止人工智能机器人的工具
云服务提供商 Cloudflare 推出了一款新的免费工具,以防止机器人抓取其平台上托管的网站数据来训练人工智能模型。要启用,只需导航到 Cloudflare 仪表板的“安全性”>“自动程序”,打开“AI 爬虫程序和爬网程序”选项。该公司表示:“客户不希望人工智能机器人访问他们的网站,尤其是那些不诚实的机器人”为了解决规避检测问题,Cloudflare 分析了人工智能机器人和爬虫流量,以微调自动机器人检测模型。除其他因素外,模型还考虑了人工智能机器人是否会通过模仿使用网络浏览器的用户行为来试图逃避检测。
—— TechCrunch、Cloudflare
Cloudflare 的 Auto Minify 将被弃用
Cloudflare 计划于2024年8月5日弃用 Auto Minify,在此日期之后将不再通过仪表板、API 或 Terraform 提供。Auto Minify 通过动态移除 HTML、CSS 和 JavaScript 文件中所有不必要的字符来提高网站性能。
https://developers.cloudflare.com/speed/optimization/content/auto-minify/#auto-minify
意大利电信监管机构承认“盗版盾”错误的屏蔽了 Cloudflare
花将近一个月的时间,意大利电信监管机构通信管理局最终承认 Cloudflare 被其刚刚起步的反盗版系统“盗版盾”错误地屏蔽。与此同时,Cloudflare 将通过敦促受此错误影响的客户提出正式投诉,来引起人们对过度封锁的关注。二月中旬,Zenlayer CDN 的大约10个 IP 地址被错误屏蔽,两周后,Cloudflare 的一个 IP 地址又代表版权持有者添加到“海盗盾”反盗版系统中,这导致了可预见的后果。在本周三举行的听证会上,意大利通信管理局负责人贾科莫·拉索雷拉透露,迄今为止已收到314项请求。在运营的第一个完整月里,该平台处理了与11项与直播体育赛事相关预防措施相关的封锁指令。贾科莫·拉索雷拉表示:“从2月2日到3月3日,总共有3,127个完全符合资格的域名和2,176个 IP 地址被屏蔽。”
—— Torrentfreak(节选)