2025年1月19日,美国TikTok禁令生效。Cloudflare数据显示,UTC时间3:30后,TikTok相关域名DNS流量骤降85%,ByteDance网络流量下降95%。与此同时,替代应用如RedNote(小红书)的流量激增,美国增长74%,墨西哥增长500%。此举反映了美国对国家安全担忧,以及用户快速适应替代平台的能力。
阅读更多
Cloudflare使用名为Topaz的系统,通过形式化验证其内部DNS寻址行为的正确性。Topaz将DNS业务目标编码为声明式程序,这些程序由匹配函数、响应函数和配置组成。在部署前,一个自定义模型检查器会验证这些程序的正确性,检查是否存在冲突或错误,确保了DNS配置的可靠性和一致性,这提高了互联网的可靠性。
阅读更多
Cloudflare 推出了 Access for Infrastructure,这是其 SASE 平台 Cloudflare One 中 BastionZero 的原生集成。Access for Infrastructure 将使组织能够在其服务器、数据库、网络设备、Kubernetes 集群等之前应用零信任控制。文章介绍了 Access for Infrastructure 的第一个可用功能:短期 SSH 访问。它解释了如何通过使用由 Cloudflare 管理的证书颁发机构 (CA) 颁发的短期 SSH 证书来消除管理 SSH 密钥的安全风险和开销。
阅读更多
证书绑定曾是安全标准,但随着证书颁发机构(CA)更频繁地轮换证书和中间证书以提高安全性,证书绑定正导致越来越多的中断。文章解释了证书绑定在当今公钥基础设施(PKI)世界中的弊端,并推荐了更有效、更现代的替代方案,如更短的证书生命周期、CAA记录、证书透明度和多视点域控制验证(DCV)检查,以在不增加管理开销和风险的情况下实现相同级别的安全性。
阅读更多
Cloudflare 推出了一种名为 Ephemeral ID 的新型反欺诈工具。该工具通过分析浏览器属性和信号生成一个短暂的 Ephemeral ID,用于识别和阻止恶意行为,而无需依赖 IP 地址。Ephemeral ID 具有短暂性和非完全唯一性,可以有效识别欺诈和滥用模式,同时保护用户隐私。该工具已集成到 Cloudflare 的 Turnstile 产品中,可供所有 Turnstile 用户使用。
阅读更多
本文介绍了Cloudflare Radar的新功能,该功能可以洞察TCP连接重置和超时现象。文章分析了导致TCP连接异常的原因,包括扫描、应用程序突然关闭、网络错误、攻击和网络流量干扰等。Cloudflare Radar提供了一个仪表盘和API,可以实时查看由于重置或超时而在前10个入口数据包内终止的TCP连接。通过分析这些异常行为,可以深入了解扫描、连接篡改、DoS攻击、连接问题和其他行为。
阅读更多
文章介绍了DNS LOC记录,这是一种用于指定物理位置的DNS记录类型。文章详细解释了LOC记录的文本格式、二进制格式以及CloudFlare如何处理和解析这些记录。
阅读更多
RADIUS(远程身份验证拨入用户服务)是一种广泛使用的身份验证协议,常用于网络设备的远程访问。然而,RADIUS/UDP协议中使用过时的MD5加密算法,容易受到改进的MD5碰撞攻击。研究人员开发了一种名为“Blast-RADIUS”的攻击,可以利用MD5的弱点,将拒绝访问的数据包更改为接受访问的数据包,从而获得对网络设备的未授权访问权限。该攻击利用了RADIUS响应验证器中的缺陷,并通过将恶意数据插入可选的Proxy-State属性来实现攻击。为了应对这种攻击,建议网络运营商升级到支持RADIUS over TLS(RADSEC)的设备,或使用HMAC-MD5消息验证器来保护RADIUS/UDP通信。
阅读更多
2024年英国大选期间,网络流量在下午和晚上投票时间段出现下降,其中北爱尔兰下降最为明显。在结果公布后,新闻网站流量激增,社交媒体平台使用率也显著提高。此外,多个参选政党遭受了DDoS攻击,其中一起攻击发生在选举结果预测公布后。
阅读更多
2024年6月27日, Cloudflare 的 1.1.1.1 公共 DNS 解析器服务遭遇了 BGP 劫持和路由泄露事件,导致全球部分用户无法访问或访问延迟增加。事件根源是 AS267613 错误地宣布了 1.1.1.1/32 路由,导致部分流量被黑洞,而 AS262504 则泄露了 1.1.1.0/24 路由,加剧了影响。Cloudflare 采取了下线相关网络连接等措施,并呼吁业界加强 RPKI 和 ASPA 等安全机制的部署,以预防类似事件再次发生。
阅读更多
为保护内容创作者的权益,Cloudflare 推出了一项全新功能,支持一键阻止所有 AI 爬虫。该功能适用于所有用户,包括免费用户。文章分析了当前网络中 AI 爬虫的活跃程度,指出部分 AI 公司未经授权抓取网站内容用于模型训练的行为,并介绍了 Cloudflare 如何识别和阻止这类行为,强调其机器学习模型能有效识别伪装成真实浏览器的 AI 爬虫。
阅读更多
由于polyfill.io被发现存在安全风险,Cloudflare推出了自动替换功能,将客户网站上所有指向polyfill.io的链接替换为Cloudflare的镜像链接。这一举措旨在降低供应链攻击风险,保障用户安全。Cloudflare建议所有网站开发者检查代码,并将polyfill.io替换为更安全的替代方案。
阅读更多