Cloudflare 既保护受害者又托管攻击者

今天 HN 上有一篇 230 分的长文，标题很直接：《谁能解释一下 Cloudflare 是不是敲诈了 Canonical》。

事情是这样的。

4 月 30 日，Canonical 的监控系统发现 blog.ubuntu.com 下线了。十分钟内，整个公司的公开网站全部挂了——ubuntu.com、安全公告 API、开发者门户、培训平台。

这两个端点的不可用会打破全球每一台 Ubuntu 安装上的 apt update。

攻击持续了大约 20 小时。

攻击者自称是一个叫"Islamic Cyber Resistance in Iraq"的团体。他们说自己用了付费服务。他们提到一个叫 Beamed 的工具——一个商业 DDOS 服务，可以绕过 Cloudflare 的保护。

嗯，问题出在这里。

Beamed 的营销网站 beamed.su 和客户登录门户 beamed.st，都托管在 Cloudflare 上。它们的域名注册商叫 Immaterialism Limited，一家注册在伦敦的公司。而 Canonical 的 Ubuntu 仓库端点 security.ubuntu.com 和 archive.ubuntu.com，也用了 Cloudflare 的保护。

也就是说，Cloudflare 免费为攻击者提供前端基础设施，然后向受害者收费来提供缓解服务。

这篇文章的作者 FlyingPenguin 做了一件很了不起的事：他追踪了完整的链。

Beamed 的域名注册商 Immaterialism Limited 的公司注册历史很有意思。2024 年 5 月成立，第一个董事是一个哥斯达黎加人。然后 2025 年 4 月，这个位置被一个叫 Naomi Susan Colvin 的人接替了。

Colvin 不是随便哪个人。她是英国自由言论组织 Blueprint for Free Speech 的项目主管，以前管过 Courage Foundation——一个为 Julian Assange、WikiLeaks 等提供法律辩护的组织。她主导了阻止 Lauri Love 被引渡到美国的法律行动。

但这还不是最奇怪的。

Beamed 的 IP 路由由 AS39287 宣布。这个自治系统的历史更有趣。从 2017 到 2020，它属于 Privactually Ltd 公司，以 FLATTR-AS 的名义运营——这是 Flattr 微支付项目的路由，由 The Pirate Bay 创始人 Peter Sunde 创立。2020 到 2026 年，同一个 AS 号被转移给 ab stract ltd，仍然由 Peter Sunde 控制，用了 Njalla 隐私代理服务。然后在 2026 年 2 月 27 日，这个 AS 被转移给了 Materialism s.r.l.，一家罗马尼亚公司。

所以一个由海盗党创始人创建的隐私基础设施，最终被用来路由一个 DDOS 攻击服务。

作者还注意到一个时间上的巧合：在 AS39287 被重新分配的 2 月 27 日当天，Canonical 为 archive.ubuntu.com 和 security.ubuntu.com 的新根域名申请了 Let's Encrypt 证书。这个操作是把这些域名放到 CDN 后面的前提条件。

作者没有断言这是因果关系，他说"这个同步性还没有被解释"。

嗯，我想从另一个角度来看这件事。

攻击规模是 3.5 Tbps。这是一个非常大的数字。普通企业的防御基础设施根本扛不住这个量级。只有 Cloudflare 这种规模的 CDN 才能吸收这种攻击。

所以 Canonical 付钱给 Cloudflare 是合理的。

但攻击者也用了 Cloudflare。Beamed 的网站被 Cloudflare 保护着，这使得攻击者自己的基础设施更难被追踪和封锁。

这不是 Cloudflare 的单边选择。攻击者自己选择了用 Cloudflare，因为 Cloudflare 的保护是行业标准。Cloudflare 的滥用系统没有把 Beamed 标记为恶意——或者标记了但还没有采取行动。

这里有一个更深层的问题。

HN 上的讨论里有一个评论者说：Cloudflare 的问题是它太大了。它既是攻击者的基础设施，也是受害者的基础设施。当攻击者和受害者都在同一个平台上时，这个平台的利益是模糊的。

对于 Cloudflare 来说，Beamed 是一个客户。Canonical 也是一个客户。两个客户在互相攻击。Cloudflare 要做的不是"选边"，而是"在两边之间建立隔离"。

但隔离在物理层是困难的。当攻击流量本身来自 Cloudflare 的网络时，你怎么区分"合法流量"和"攻击流量"？

另一个评论者提出了一个更根本的质疑：当互联网基础设施集中在少数几个 CDN 手中时，这种集中本身就创造了新的攻击面。2017 年之前，DDOS 攻击的目标是你的服务器。现在它变成了你的 CDN 提供商。

嗯，我想到了另一件事。

今天 HN 上还有一个 410 分的帖子：TanStack 的 NPM 包被入侵了。

这是一个不同的攻击面——软件供应链。但两个事件有一个共同点：它们都利用了"信任链"的断裂。

Cloudflare 事件中，攻击者利用了 CDN 的信任链——网站信任 CDN 来保护自己，CDN 信任自己的滥用检测系统。攻击者找到了这个信任链中的缝隙。

TanStack 事件中，攻击者利用了 NPM 的信任链——开发者信任包管理器，包管理器信任发布者的凭证。攻击者找到了凭证管理的缝隙。

两个事件都在说同一件事：现代软件的安全不再取决于你写多好的代码，而取决于你信任的整个链条中最薄弱的一环。

嗯，也许这才是真正值得记住的。

攻击变得越来越便宜。Beamed 是一个"按次付费"的 DDOS 服务。TanStack 的入侵是通过社会工程获取发布凭证。它们不需要超级先进的技术。

但防御变得越来越贵。你需要 Cloudflare Enterprise、需要 NPM 的 2FA 发布保护、需要供应链审计工具、需要安全团队 24 小时值守。

当防御的成本远远高于攻击的成本时，这个系统本身就是有问题的。

也许最好的建议不是"用更贵的安全工具"。而是减少你对不可控基础设施的依赖。

对于 Canonical 来说，这意味着考虑多 CDN 策略。对于 TanStack 用户来说，这意味着锁定依赖版本。对于个人用户来说，这意味着少用那些你不知道底层依赖链的工具。

嗯，减少依赖本身就是一种安全策略。