安全运营的必备工具！如何了解网站用户和攻击流量的全貌_会看攻击的流量吗,大概能看几层

Cloudflare中国公众号：

在Cloudflare，我们一直在了解网络和安全工程师们对于Cloudflare控制面板的需求，根据其用例改进控制面板中的分析工具，其中的两个主要用例即为——事件响应和报告。

当企业的某个数据中心的流量水平超过了安全阈值，在快速响应和解决问题之前，安全运营人员还需要了解流量的来源并确认是否需要采取其他措施，例如：

-流量增长是否来源于购物节活动等？
-企业的数据中心是否正在遭受攻击？
-流量水平已趋向稳定或仍在增长？
-是否需要转移流量到另一数据中心？

为了回答以上问题，我们需要了解一些重要的指标：

主要目的IP和端口
-帮助了解哪些服务正在受到影响

主要源IP、端口、ASN、数据中心及其所处国家/地区
-帮助确定流量的来源

实时数据包传输速率和比特率
-帮助了解流量水平

协议分布
-帮助了解什么类型的流量出现异常

TCP标志位分布
-异常的分布可能表明正在受到攻击

攻击日志
-显示什么类型的流量被丢弃/限制速率

安全团队通常每天需要花费36%的时间来处理数据和创建报告。

安全和网络工程师还需要创建事件报告以及向相关部门提供证据，他们也需要通过某些度量标准和见解来了解Cloudflare服务的成效：

-Cloudflare为我们节省了多少潜在停机时间和带宽？
-我们最易受攻击的IP和端口是什么？
-攻击从何而来？有哪些类型和趋势？

Cloudflare分析平台

Cloudflare的分析平台一直在扩展和改进，添加更多的功能并增强可用性。从HTTP安全事件见解，到账户分析，DNS分析，负载均衡分析等，Cloudflare的分析平台现可以为客户提供其站点的用户和攻击流量全视图。

提供3到7层的流量洞察

Cloudflare的分析平台主要提供HTTP属性的洞察，例如用户代理、主机和缓存资源等。但对于Magic Transit客户而言，我们并非在第7层（应用层）为其代理流量，而是在第3层（网络层）路由流量。因此，我们需要将分析平台扩展到数据包层。

Cloudflare网络分析可提供对网络和传输层流量模式以及DDoS攻击的实时可见性，显示Cloudflare遍布全球200+城市的网络所阻止的流量模式。

提供全年的攻击日志

Cloudflare在边缘数据中心对流量进行采样，并构建分析数据存储库来为客户提供一年时间内的有价值的见解。我们提供一年的攻击日志，包含了攻击的开始/结束时间，最小/最大/平均数据包总数和速率，攻击类型和采取的措施等。

通过GraphQL API使用分析

您也可以通过GraphQL使用我们的数据包级分析，添加过滤器来了解IP、端口、ASN、流量来源等信息。这部分需要有程序员配合对接。

数据包/比特的地理分布

一份良好报告的关键是添加一份数据包/比特的地理分布图！由于攻击者往往使用虚假IP来掩盖其位置，因此流量源IP并不能为我们带来太大的帮助。相反，Cloudflare网络分析提供了接收数据包的数据中心地理分布。Cloudflare在全球100+国家/地区的200+城市拥有数据中心，可确保地理分布的精确性。

在对事件做出响应时，处理数据并生成可行的见解尤为重要。Cloudflare网络分析面板可帮助您加快创建报告和调查事件的过程。充分利用Cloudflare的分析平台可以使您在工作流程中事半功倍。

转自Cloudflare公众号：https://mp.weixin.qq.com/s/OR8LeyneJq_xXZ9Lm8B5IQ