昨天，我们庆祝了伽利略计划五周年。超过550个网站是这个项目的一部分，它们有一个共同点：每个网站都在上个月受到攻击。在本博客文章中，我们将查看我们在2019年4月23日至2019年5月23日期间观察到的安全事件。Galileo项目站点受Cloudflare防火墙和高级DDoS保护的保护，其中包含许多可用于检测和缓解不同类型攻击和可疑流量的功能。下表显示了这些特性对伽利略项目站点保护的贡献。防火墙功能缓解的请求不同的原始IP受影响的地点（大约）防火墙规则78.7米396.5公里~30个安全水平4170万1.8米~520个访问规则24.0米386.9万约200个浏览器完整性检查940万32.2公里约500个WAF公司4.5米163.8万约200个用户代理舞台调度230万1.3公里~15个热链接保护2.0米686.7万~40个超文本传输协议DoS公司160万3601费率限制623.5公里6.6万~15个区域封锁9.7万2.8万~10个WAF（Web Application Firewall）虽然在阻止的请求方面不是最令人印象深刻的，但它最有趣的是，它基于发现所有客户的攻击并从中吸取教训的启发和规则来识别和阻止恶意请求。WAF可用于我们所有的付费客户，保护他们免受0天、SQL/XSS漏洞攻击等攻击。对于Galileo项目的客户，WAF规则在我们调查的一个月内阻止了超过450万个请求，匹配超过130条WAF规则，每个白天。热地图显示了每天在客户网站（行）上看到的攻击（列）这张热图最初可能会让人困惑，但一旦你知道会发生什么，阅读一张很容易，所以请耐心等待我们！它是一个表格，其中每一行是伽利略项目的网站，每一列是一天。颜色表示触发WAF规则的请求数-从0（白色）到大量（深红色）。手机越暗，被阻止的请求就越多一天。我们每天观察我们保护的大多数网站的恶意流量。在观察到的1个月内，Galileo项目的平均站点有27天出现恶意流量，而我们每天注意到的站点中，几乎有60%的站点出现了恶意流量事件。幸运的是，绝大多数网站每天只收到少量恶意请求，很可能来自自动扫描仪。在某些情况下，我们注意到针对某些网站的攻击净增加，而且一些网站正处于不断涌入的攻击。热显示每天每个WAF规则（行）阻止的攻击（列）此热图显示每天阻止请求的WAF规则。一开始，似乎有些规则是没有用的，因为它们从不匹配恶意请求，但是这个阴谋使一些攻击媒介突然活跃起来（孤立的暗细胞）。这在0天内尤其如此，一旦发布攻击，恶意流量就会开始，并且在最初几天非常活跃。暗活动线是最常见的恶意请求，这些WAF规则可以防止XSS和SQL注入之类的东西攻击.DoS（拒绝服务）DoS攻击通过向网站注入大量不良流量来阻止合法访问者访问该网站。由于Cloudflare的工作方式，受Cloudflare保护的网站不受许多DoS载体的影响。我们阻止第三层和第四层攻击，包括SYN洪水和UDP放大。DNS名称服务器，通常被描述为互联网的电话簿，完全由Cloudflare管理，并且受保护-访问者知道如何访问网站。行在DoS attack下每秒对一个网站的请求你能发现攻击吗？至于第7层攻击（例如，HTTP洪水），我们依靠Gatebot，一个自动工具来检测、分析和阻止DoS攻击，这样你就可以睡觉了。该图显示了我们在一个区域上每秒收到的请求，以及它是否到达源服务器。正如您所看到的，坏流量是由Gatebot自动识别的，超过160万个请求被阻止为结果。防火墙规则对于有特定要求的网站，我们提供工具允许客户拦截流量，以精确满足他们的需求。客户可以很容易地实现复杂的逻辑，使用防火墙规则过滤出特定的流量块，使用访问规则阻止IP/网络/国家/地区，而Galileo项目的网站就做到了这一点。让我们看看示例。防火墙规则允许网站所有者根据自己的意愿挑战或阻止尽可能多或尽可能少的流量，这可以作为外科手术工具"仅阻止此请求"或作为通用工具"挑战每个请求"。例如，一个著名的网站使用防火墙规则来阻止20个IP获取特定的页面。其中3个IP被用来在短时间内发送总计450万个请求，下表显示了该网站的请求。发生这种情况时，Cloudflare降低了流量，确保网站保持不变可用。累计直线图。每秒对网站的请求数另一个用WordPress构建的网站正在使用Cloudflare缓存他们的网页。由于POST请求不可缓存，它们总是会命中源计算机并增加源服务器的负载-这就是为什么这个网站使用防火墙规则来阻止POST请求，除了在其管理后端。聪明！网站所有者还可以根据访问者的IP地址、自治系统号（ASN）或国家/地区拒绝或质疑请求。它被称为访问规则，在网站的所有页面上都被强制执行-麻烦-免费。为了例如，一个新闻网站正在使用Cloudflare的访问规则来挑战来自其地理区域以外的国家访问其网站的访问者。我们在全局范围内甚至对缓存的资源强制执行规则，并为它们处理GeoIP数据库更新，因此它们没有到。那个区域锁定实用程序将特定的URL限制为特定的IP地址。这对于保护由外部IP地址访问的内部但公共路径很有用。英国的一家非营利组织正在使用区域锁定来限制对他们的WordPress管理面板和登录页面的访问，在不依赖非官方插件的情况下加强他们的网站。虽然它不能阻止非常复杂的攻击，但它保护他们免受自动攻击和网络钓鱼企图-即使他们的凭据被盗，他们也不能被用作很容易。评分LimitingCloudflare充当CDN，缓存资源并愉快地为它们提供服务，减少源服务器使用的带宽…并间接降低成本。不幸的是，并不是所有的请求都可以被缓存，而且有些请求处理起来非常昂贵。恶意用户可能会滥用这一点来增加服务器的负载，而网站所有者可以依赖我们的速率限制来帮助他们：他们定义阈值，用请求表示，在一段时间内，我们确保强制执行这个阈值。一个非营利性扶贫项目依靠利率限制来保护自己的捐款页面，我们很乐意为您提供帮助！安全级别最后但并非最不重要的是，Cloudflare最大的资产之一是我们的威胁情报。有这么宽的镜头