来源: https://blog.cloudflare.com/fresh-insights-from-old-data-corroborating-reports-of-turkmenistan-ip/
在 Cloudflare,我们经常使用和撰写关于当前数据的文章。但有时,理解现状需要从挖掘过去开始。
我们最近了解到一篇发表于 2024 年的turkmen.news 文章(俄语版),该文章报道称土库曼斯坦“史无前例地放松了网络封锁”,导致超过 30 亿个此前被封锁的 IP 地址恢复访问。文章还指出,解除 IP 地址封锁的原因之一可能是土库曼斯坦正在测试新的防火墙。(土库曼斯坦政府对该国互联网访问的严格控制早已是众所周知的事实。)
事实上,正如我们将在下文展示的那样, Cloudflare Radar显示,大约在同一时间,来自土库曼斯坦的请求数量激增。但我们还有一个疑问:防火墙活动是否也会显示在 Radar 上?两年前,我们在 Radar 上推出了仪表盘,以便查看因重置和超时而关闭的 Cloudflare TCP 连接。这些连接之所以引人注目,是因为根据 TCP 规范,它们被认为是不优雅的 TCP 连接关闭机制。
在这篇博文中,我们将回顾 Cloudflare 在连接重置和超时方面观察到的情况。我们必须提醒读者,作为被动的观察者,我们能从数据中获取的信息是有限的。例如,我们的数据无法揭示攻击的归因。即便如此,观察自身环境的能力仍然具有启发意义。最近的一个例子是,我们对连接重置和超时的可见性帮助证实了有关俄罗斯大规模封锁和篡改流量的报道。
土库曼斯坦提出了此前从未提出的要求。
我们先来看请求数量,因为如果 IP 地址被解除封锁,请求数量应该会增加。2024 年 6 月中旬,Cloudflare 开始收到明显的 HTTP 请求增长,这与有关土库曼斯坦解除 IP 地址封锁的报道相符。
TCP 重置和超时总数
传输控制协议 (TCP) 是一种底层机制,用于在客户端和服务器之间建立连接,并且还承载着70% 的 HTTP 流量到 Cloudflare。TCP 连接的工作方式很像人与人之间的电话通话,人们遵循着优雅的惯例来结束通话——如果通话突然结束,人们会非常清楚地意识到这种惯例被打破了。
TCP 还定义了优雅地结束连接的约定,我们也开发了相应的机制来检测连接何时无法正常结束。非优雅的结束是由重置指令或超时触发的。有些非优雅的结束是由于软件设计或用户行为等良性因素造成的。然而,有时第三方会利用这些机制来关闭连接,例如在学校和企业防火墙或软件、移动套餐的零费率机制以及国家级网络过滤等场景中。
当我们观察来自土库曼斯坦的连接时,会发现截至2024年6月13日,四种颜色区域的总比例有所增加;每种颜色区域代表连接生命周期中不同阶段的终止情况。除了总比例的增加之外,各个阶段(或颜色)之间的相对比例也发生了变化。
接下来的几周出现了进一步的变化。其中包括:7月4日左右开始,PSH后(橙色)异常数量增加;7月13日左右,ACK后(浅蓝色)异常数量减少;以及7月22日左右,连接后期(绿色)异常数量增加。
上述变化可以 用大型防火墙系统来解释。需要注意的是,连接各个阶段的数据(图中四个彩色区域所示)都可以用浏览器实现或用户行为来解释。然而,要达到如此庞大的数据规模,需要大量的浏览器或用户执行相同的操作。同样,除非大量用户同时进行相同的操作,否则单个用户的行为变化也会被忽略。
深入挖掘各个网络
我们了解到,查看单个网络的数据有助于揭示由同一实体在不同地区运营的不同网络之间的共同模式。
观察土库曼斯坦境内的各个网络,趋势和时间线显得更为明显。特别是7月22日,与服务器名称指示(SNI)或域名相关的异常情况比例更高,而非与IP地址(深蓝色)相关的异常情况,尽管异常情况出现的连接阶段因网络而异。
土库曼斯坦的整体趋势与来自AS20661(土库曼电信)的连接情况基本一致,表明该自治系统(AS) 占土库曼斯坦流向 Cloudflare 网络流量的很大一部分。自 7 月 26 日左右开始,Post-ACK(浅蓝色)异常显著减少。
AS51495(阿什哈巴德市电话网络)的情况则有所不同。7月12日,ACK后异常几乎完全消失,这与PSH后阶段异常的增加相对应。此外,该AS在7月22日的后续(绿色)连接阶段也出现了异常增加的现象。
最后,对于AS59974(Altyn Asyr),您可以在下方看到,从 7 月 22 日开始,Post-ACK 异常数量出现了明显的激增。这是连接的这个阶段,防火墙可能已经检测到了 SNI,并选择立即丢弃数据包,因此这些数据包永远不会到达 Cloudflare 的服务器。
超时和重置应结合上下文,切勿孤立处理。
我们之前讨论过如何使用重置和超时数据,因为虽然这些数据很有用,但也容易被误解。Radar 提供的重置和超时数据在运营商中独树一帜,但单独来看,这些数据并不完整,而且容易受到人为因素的影响。
以上图 AS59974 为例,7 月 22 日 Post-ACK(浅蓝色)异常显著增加。雷达图显示的是比例关系,这意味着比例的增加可能是由于异常数量增多造成的,但也可能是由于有效请求数量减少造成的。事实上,查看同一 AS 的 HTTP 请求水平,可以发现从同一天开始也出现了类似的明显下降,如下图所示。
然而,如果我们查看 7 月 22 日之前的这两个图表,就会发现重置和超时异常的发生率似乎与 HTTP 请求的大幅波动并不相符。
展望未来也可能意味着回顾过去
以上来自 Radar 的图表提供了一种从不同角度分析新闻事件的方法,即观察请求、TCP 连接重置和超时情况。这些数据是否确凿地表明土库曼斯坦正在测试新的防火墙?并非如此。但数据趋势与这种情况下的预期结果相符。
如果考虑如何利用重置和超时数据,我们建议也回顾一下这些数据,甚至回顾更久远的数据,以更好地理解上下文。
例如,一个很自然的问题可能是:“如果土库曼斯坦在2024年中期停止封锁IP地址,那么在此之前的数据表明了什么?”下图展示了2023年10月和11月的数据。(红色阴影区域的数据缺失,原因是11月2日Cloudflare控制平面和指标服务中断。)在我们关注此事的这篇新闻报道发表之前,有关土库曼斯坦互联网状况的信号就已经开始演变。
个人点评:
土库曼斯坦怎么个事儿,习主席赶紧教教哈梅多夫怎么治国理政