安全和攻击环境保持高度活跃,而 Cloudflare Radar 为这一动态格局提供的可见性已随时间演进和扩展。为此,2023 年的 Security Week,我们推出了 URL 扫描工具,使用户能够安全地扫描任何 URL ,以确定是否可以安全地查看或与之交互。2024 年 Security Week,我们推出了电子邮件安全页面 就恶意邮件构成的威胁、垃圾邮件数量、SPF、DMARC 和 DKIM 等电子邮件认证方法的采用情况,以及邮件服务器的 IPv4/IPv6 和 TLS 的使用情况提供独特的视角。对于 Security Week 2025,我们在 Cloudflare Radar 上增加了几个新的 DDoS 图表、针对泄露凭据趋势的新洞察,以及一个新的机器人页面。借此机会,我们还重构了 Radar 的安全和攻击页面,将其拆分为应用层和网络层部分。
下面,我们将回顾 Radar 的所有这些更改和新增功能。
分层安全
自 2020 年Cloudflare Radar 推出以来,它一直在单个安全与攻击页面上提供对网络层(第 3 和第 4 层)和应用层(第 7 层)攻击流量的洞察。在过去的四年多里,我们不仅改进了页面上的一些现有数据集,还添加了新的数据集。随着页面内容不断增长和改进,它可能变得难以导航,使用户不容易找到感兴趣的图表和数据。为帮助解决这个问题,Radar 上的安全部分现已提供单独的应用层和网络层页面。应用层页面是默认页面,包括通过分析基于 HTTP 的恶意流量和攻击流量获得的新见解。网络层 页面包括通过对网络和传输层攻击分析获得的见解,以及观察到的TCP重置和超时 。未来与安全和攻击相关的数据集将被添加到相关页面。电子邮件安全则保留在其自己的专用页面上。
应用层 DDoS 攻击的地理和网络视图
Radar 的季度 DDoS 威胁报告提供对应用层 DDoS 攻击的主要来源和目标位置的见解,并按季度汇总。Radar 应用层安全页面上的新地图和表格现可提供更及时的见解,利用全球分层设色地图展示来源位置和目标位置的地理分布,附带一个按总 DDoS 请求份额排名的前 20 个位置列表。来源位置归因继续依赖于被阻止请求发出的 IP 地址所在地理位置,而目标位置仍然是拥有被攻击站点的帐户的账单位置。
在 2025 年 3 月的第一周,美国、印度尼西亚和德国是应用层 DDoS 攻击的主要来源,合计占此类攻击的 30% 以上,如下所示。主要目标地点的集中度差异很大,来自加拿大、美国和新加坡的客户吸引了 56% 的应用层 DDoS 攻击。
除了扩展对应用层 DDoS 攻击地理来源的可见性外,我们还增加了在自治系统(AS)层面的可见性。新的树形图显示这些攻击按来源 AS 的分布情况。在全球范围内,最大的攻击来源包括德国、美国、中国和越南的云服务/托管提供商。
对于所选国家/地区,树形图显示了源自该位置的攻击的来源 AS 分布情况。在一些国家/地区,攻击流量来源高度集中在消费者/商业网络提供商处,例如葡萄牙,如下图所示。然而,在拥有大量云提供商的其他国家/地区,例如爱尔兰、新加坡 和 美国,与这些类型的提供商关联的 ASN 是主要来源。因此,在 2024 年每个季度的 DDoS 威胁报告都将新加坡列为应用层 DDoS 攻击的主要来源之一。
您的信息是否已经泄露?
每周似乎都有关于数据泄露的新闻报道,涉及成千上万或数百万的用户名和密码被窃取的情况。或者,您可能会收到来自身份监控服务的电子邮件,提示您的用户名和密码出现在“暗网”上。(当然,您之所以收到这些警报,是因为某公司为弥补先前的数据泄露事件而赠送给您的免费身份监控服务订阅......)
这种凭据盗窃的问题尤其严重,原因在于人们经常重复使用密码,尽管最佳实践建议为每个网站或应用使用强壮、唯一的密码。为帮助缓解这种风险,从 2024 年开始,Cloudflare 支持客户使用保护隐私的泄露凭据检查工具扫描对其网站和应用的身份验证请求,以检测已知泄露的用户名和密码。今天,我们使用汇总数据来显示在 Cloudflare 网络中观察到凭据泄露和被盗频率的趋势。(在这里,我们将“泄露凭据”定义为在公共数据集中找到的用户名或密码,或检测为相似的用户名和密码。)
泄露凭据检测会扫描传入的 HTTP 请求,以检查来自常见 Web 应用和已配置的任何自定义检测位置的已知身份验证模式。该服务使用保护隐私的泄露凭据检查协议,将检测到的密码的 hash 值与泄露凭据数据库中发现的泄露密码 hash 值进行比对。全球应用层安全页面上增加了一个新的 Radar 图表,显示有关身份验证请求中泄露凭据检测的总体趋势。该图表可按来自人类、机器人或全部(人类 +机器人)的身份验证请求进行过滤,显示分类为“干净”(未检测到泄露凭据)和“泄露”(使用了上述定义的泄露凭据)的请求。在全球范围内,我们发现在 2025年3月第一周,泄露凭据在所有授权请求中的使用比例为 64%,在机器人授权请求中超过 65%,在人类授权请求中超过 44%。
这表明从人类的角度来看,密码重复使用仍然是一个问题。另一个问题是,用户在收到泄露通知时没有立即采取行动以更改密码。从机器人的角度来看,这表明攻击者知道,某个网站或应用的泄露凭据很有可能使他们在其他地方访问该用户的帐户。
作为泄露凭据数据的补充,Radar 现在还显示源于机器人的身份验证请求占比。请注意,这些请求并非全部都是恶意的——虽然有些可能与凭据填充式攻击相关,但其他一些可能来自自动化脚本或其他无害应用对身份验证端点的访问。(话虽如此,自动恶意攻击请求量远远超过合法的自动登录尝试。)在 2025 年 3 月的第一周内,我们发现超过 94% 的身份验证请求来自机器人(自动化),其余来自人类。在同一时期,机器人流量仅占总请求数的 30%。因此,虽然机器人并不占请求流量的大部分,但身份验证请求似乎在其活动中占了很大一部分。
推出机器人专属页面
提醒一下,机器人流量是指所有非人类互联网流量,监控机器人流量水平有助于发现潜在的恶意活动。当然,机器人也可能是有益的,Cloudflare 维护着一份经过验证的机器人列表,可帮助互联网保持健康。鉴于监控机器人活动的重要性,我们在Cloudflare Radar 的流量部分推出了一个新的机器人专属页面,以支持这些工作。对于所选时间段内的全球和位置视图,页面会显示机器人(自动化)与人类 HTTP 请求的分布情况,以及显示机器人流量趋势的图表。(我们的机器人评分结合了机器学习、启发式算法和其他技术,用于识别可能来自机器人的自动请求。)
2023 和 2024 年的 Cloudflare Radar 年度回顾微站点都包含了 “机器人流量来源” 部分,显示 Cloudflare 确定的自动化/疑似自动化流量占比最大的位置和网络。然而,这些流量份额每年只发布一次,汇总了 1 月到 11 月底的流量。
为了提供更及时的信息,这些洞察现发布于新推出的 Radar 机器人页面。类似于上述新 DDoS 攻击内容,全球视图包括一个分层设色地图和表格,显示所有机器人流量中占比最大的位置。(请注意,流量概述页面上有一个类似的流量特征地图和表格,根据机器人流量占位置总流量的比例对位置进行排名。)与上方链接的年度回顾数据类似,美国仍然是机器人流量占比最大的来源。
此外,全球视图还细分了按自治系统分的机器人流量份额,与年度回顾中显示的树形图一致。正如我们此前所指出的,云平台提供商在机器人流量中占了很大的比例。
在地理位置层面,根据所选的国家/地区,机器人流量的主要来源可能是云/托管提供商、消费者/企业网络提供商,或两者兼有。例如,法国的分布情况如下所示,4 个 ASN 占据了该国机器人流量的一半多一点。在这些 ASN 中,两个(AS16276 和 AS12876)属于云/托管提供商,两个(AS3215 和 AS12322)属于网络提供商。
此外,已验证机器人列表已移到 Radar 上新增的机器人页面。显示的数据和功能保持不变,但指向旧位置的链接将自动重定向到新位置。
摘要
Cloudflare 控制台为客户提供针对安全趋势、应用层和网络层攻击以及其站点和应用中机器人活动的特定视图。虽然这些视图在单个客户级别上很有用,但全球、位置和网络级别的聚合视图则提供了关于趋势和活动的宏观视角。Cloudflare Radar 上提供的这些聚合视图不仅帮助客户了解他们的观察结果与整体情况的对比,还帮助行业理解可能需要采取行动的新兴威胁。
上述图表和数据的基础数据可通过 Radar API (应用层,网络层,机器人,泄露凭据)查看。您还可以使用 Radar 的 Data Explorer 和 AI Assistant,以交互式地更深入地探索跨不同位置、网络和时间段的数据。一如既往,Radar 和 Data Explorer 图表可以下载以供分享,并可嵌入到自己的博客文章、网站或仪表板中使用。
如果您在社交媒体上分享我们的安全、攻击或机器人数据图表,请务必给标记我们:@CloudflareRadar 和 @1111Resolver (X)、noc.social/@cloudflareradar (Mastodon) 以及 radar.cloudflare.com (Bluesky)。如有疑问或意见,欢迎通过社交媒体联或电电子邮件联系我们。