Get best of the week

CloudFlare-互联网癌症



免责声明: 我本人经常使用CloudFlare,我认为他们做得很好,可以帮助开发Internet,免费提供出色的产品,并且总体上是出色的。本文描述了分散化Internet集中化时的全球化问题和新威胁。

当CloudFlare首次出现时,这是Web托管领域的一次真正的革命:只需单击两下,而无需移动到另一台服务器,您就可以将专业CDN连接到您的网站,从而节省了大量流量,加速了静态文件的加载并防止了DDoS。以前,只有公司才能负担得起很多钱,但现在它已对所有人开放,而且免费!

从那时起,CloudFlare呈指数增长,如今通过其基础架构代理了Internet的三分之一。因此,出现了以前不存在的问题。在文章中,我们将研究CloudFlare如何威胁互联网的正常运行,如何阻止普通人使用站点,无法访问加密流量以及如何处理。

如何打破三分之一的互联网



由于CloudFlare错误,2019年7月2日完全中断结果,以某种方式使用其网络的所有服务都不可用。其中最著名的是:Discord,Reddit,Twitch。这不仅影响了网站,还影响了游戏,移动应用程序,终端等。同时,由于第三方API变得不可用,即使是那些不直接使用CloudFlare的服务也遇到了问题。

在大多数情况下,要使用CloudFlare,客户端会将其域定向到其DNS服务器。事故发生时,控制面板和API也变得不可用,因为客户无法重定向其域以绕过CloudFlare网络,从而被困住了:不可能迅速禁用代理并返回其基础架构。唯一的出路是将域委派给他们自己的DNS服务器,但是这种更新可能需要一天以上的时间,并且大多数客户端尚未为此做好准备,并且在这种情况下没有备用的主DNS服务器。

尽管停机时间很小,只有几个小时,但这严重影响了整个行业。由于非工作付款服务,公司遭受了直接损失。此事件揭示了一个以前仅在理论上进行过讨论的明显问题:如果Internet如此依赖一个服务提供商,则在某些时候一切都可能中断。

如果一家公司控制着互联网的很大一部分,那么它将从技术和经济两方面威胁网络的稳定性。


互联网本身的概念涉及权力下放和对此类错误的抵制。即使一部分网络断开,路由系统也会自动重建。但是,当一家公司管理如此大的流量时,网络很容易受到错误,破坏,黑客以及不诚实的牟利行为的攻击。这个想法对于理解其余问题很重要,我们将在后面讨论。

你看起来可疑


如果用于检测恶意CloudFlare流量的专有算法认为您是不值得的Internet用户,那么网上冲浪将变成一种煎熬:在每五个站点上,您都会看到遭受侮辱性验证码的要求。


CloudFlare CAPTCHA可以在整个Internet上困扰您

,这些专线的作者从办公室IP地址转到Internet,后面坐着其他数百名员工。显然,CloudFlare决定让我们所有人看起来都像机器人,并开始向所有人展示非常邪恶的验证码。有时当某些移动应用程序无法登录时,这很荒谬。因此,为了正常浏览Internet,必须连接VPN。

事实证明,如果CloudFlare不能取悦您,或者由于错误的检测,您可以随时将您个人与Internet的很大一部分断开连接,或者将正常使用服务变成一种折磨。

我们可以通过HTTPS看到


为了正确地缓存和过滤内容,CloudFlare服务器必须能够查看解密的HTTP流量。为此,他们始终以MiTM(中间人)模式工作,用SSL证书代替最终站点访问者。

HTTPS设置说明中的图片可能会误导您,就像在完全模式下一样,在整个流量中都使用了加密。实际上,CloudFlare服务器会解密来自服务器的流量,并使用其针对站点访问者的证书再次对其进行加密。


在任何操作模式下,CloudFlare都会解密SSL流量,

即使您身边拥有有效的SSL证书,CloudFlare仍然可以访问所有传输的数据。这使SSL的整个概念变得模糊,它涉及从客户端到目标服务器的加密,而不会一直解密。

万一CloudFlare服务器出现错误或被黑客入侵,攻击者将可以使用所有机密信息流。只需记住一个内存泄漏漏洞即可,该漏洞导致CloudFlare服务器将随机内存内容直接吐出到页面内容中。这可能包括Cookie,帐户,信用卡号等。

您还需要记住,即使原始服务器位于另一个司法管辖区,Cloudflare Inc所在司法管辖区所在国家的特殊服务也可能会请求访问解密的流量。这将SSL的基本思想变成了小说。

不仅是基础架构,而且还有审查制度


最初,Cloudflare表示它将仅为客户提供基础架构,并且不打算审查内容资源,并承诺仅限于政府机构的合法要求。著名的LulzSec小组的站点也是如此,该站点负责协调黑客和DDoS攻击。在这个场合,Cloudflare 发表了一份声明

然而,过了一会儿,Cloudflare决定基于其道德观念拒绝为8chan网站提供服务。而且,没有法院的判决或其他正式原因,他们只是这么认为。这引起了有关提供商是否可以自己决定哪些服务值得在其基础架构上进行服务以及哪些服务不值得进行公开讨论的问题。 《纽约时报》上有关该主题的反思文章:为什么禁止8chan对Cloudflare如此困难:“没有人应该拥有那种力量”

结论


尽管Cloudflare是一项非常有用的服务,并有助于显着加速内容的交付以及互联网的发展,但其危险的增长和即将到来的垄断威胁着整个互联网的稳定性。让我们尝试以简单的方式总结以上所有内容:

  • 您不能将所有鸡蛋都放在一个篮子里。这是完全不安全的,在这种情况下错误的代价太高了。如果一家公司拥有世界上所有的秘密,那么它总是可以被黑客入侵,犯错或者只是不诚实地采取行动将竞争对手赶出市场。
  • — . , , , .
  • SSL . , Cloudflare, — CloudFlare. .

这篇文章并不敦促放弃Cloudflare,而仅描述未来威胁该公司如此快速发展和影响的因素。考虑一下您是否真的需要使用Cloudflare来完成任务,如果没有它就不可能,请在紧急情况下考虑使用PlanB。

对于那些正在寻找可靠服务器的人,我们发起了一项行动:免费提供ISPmanager三个月。并为哈伯(Habré)读者提供传统的10%折扣:

More articles:


All Articles