클라우드플레어
https://www.cloudflare.com/ 공식 홈페이지
https://blog.cloudflare.com/ 공식 블로그
개요
미국 소재의 CDN 서비스와 DNS 서비스를 제공하는 기업. 본사는 미국 샌프란시스코에 있다.
2018년 3월 기준으로 대한민국 서울[* 서울 데이터 센터의 코드는 ICN. 이는 인천국제공항의 IATA 코드로, 관습적으로 많은 클라우드 인프라 서비스가 데이터 센터의 코드로 해당 센터가 위치한 도시로부터 가장 가까운 국제공항의 IATA 코드를 사용한다. 데이터 센터의 위치와 공항의 위치와는 무관하다.]을 포함한 122곳의 데이터 센터가 존재한다고 한다.([[1]])
프리 플랜, 프로 플랜, 비즈니스 플랜, 엔터프라이즈 플랜이 있으며, 프리 플랜은 무료로 이용 가능하다.
서울로 연결은 가능하지만 대한민국 회선 가격이 너무 비싼 관계로(...) 엔터프라이즈 플랜에서만 지원된다[* 정확히는 "프리, 프로, 비즈니스에서 지원되지 않는다"]고 밝혔다. 한때 한국에서는 대부분 LAX으로 연결되었으나 2018년 9월 현재 대부분이 NRT, KIX로 연결된다.
클라우드플레어에서 무료 VPN 출시
- 클라우드플 Anonymous 19/04/01(Mon)18:38:57 No.55544
클라우드플레어에서 무료 VPN 출시했는데 HTTPS 검열 우회 용도정도로는 쓸 수 있겠네.
Cloudflare is adding a free VPN to its 1.1.1.1 app
April 1, 2019
http://c2djzrn6qx6kupkn.onion/res/55544.html
http://jqu6my2mlqp4zuui.onion/p?id=10887
제공 서비스
CDN, DNS, SSL, DDoS 방어 서비스, Always Online™, Cloudflare Railgun™ 등을 제공한다. IDC에서 내용을 캐싱했다가 보여주게 된다.
[서비스]는 클라우드플레어의 핵심이라고 할 수 있는데, 제공되는 서비스들을 사용하기 위해서는 네임서버 설정이 클라우드플레어로 되어있어야 한다.
[서비스]는 DNS 설정에서 클라우드플레어 CDN 기능을 사용하도록 한 경우에만 사용할 수 있는데, 놀랍게도 프리 플랜에서부터 사용이 가능하다. 복잡하게 SSL 인증서를 발급받을 필요 없이 클릭 몇 번만 해 주면 사용이 가능하다. 프리 플랜의 경우 설정 후 24시간을 기다려주면 범용 SSL 사용이 가능하며, 프로 플랜 이상의 경우 설정 즉시 일반 SSL을 사용할 수 있다. 나무위키는 프리 플랜을 사용하여 한동안 인증서 관련 이슈가 있었지만 이후 프로 플랜으로 전환하여 그 문제는 해결된 상태다. --OpenSSL로 Self-Signed 인증서로 HTTPS 서버 구축하니 COMODO Multi-Domain 인증서가 되는 마술-- 또한 HTTP/2를 기본 지원한다. 다만, 범용 SSL은 특정 운영체제와 브라우저에서 작동하지 않는다는 문제점이 있다.([브라우저의 목록]) 한 가지 주의할 점이 있는데, SSL 설정이 Flexible(유동)일 경우 클라이언트와 Cloudflare 사이의 연결은 암호화되나, Cloudflare와 원본 서버 사이의 연결은 암호화되지 않는다. 이는 SSL의 중요 기능 중 하나인 도청 방지를 위한 연결 암호화를 소홀히 하는 것으로 큰 주의가 필요하다. NSA가 구글의 암호화되지 않은 데이터 센터 간 네트워크를 도청한 사실로 봐서도 이는 결코 쉽게 봐선 안 되는 일이다. 게다가 사용자에겐 잘못된 안심감을 심어주어 SSL의 신뢰를 해치는 성향이 있어 이 기능을 싫어하는 보안 전문가들도 적지 않다.
[Online™] 서비스는 서버#s-1가 내려간 경우에도 클라우드플레어 CDN 서버#s-1에 저장된 캐싱된 내용을 그대로 보여준다. 프리 플랜에서는 일주일에 한 번 캐싱, 프로 플랜에서는 3일에 한번 캐싱, 비즈니스 플랜부터는 매일 캐싱한다. 2015년 리그베다 위키 사유화 사태로 리그베다 위키의 서버가 내려갔지만, FrontPage 등 일부 페이지에 접근이 가능했던 이유도 이 기술 때문.
[Railgun™] 서비스는 비즈니스 플랜부터 사용 가능하며 캐시 할 수 없는 데이터를 서버로부터 클라우드플레어 CDN 네트워크까지 최대 99.6% 압축하여 전송하는 기술이다. 비즈니스 플랜을 구입하거나, 사용 중인 호스팅 회사가 클라우드플레어와 파트너십을 맺은 경우 사용할 수 있다. 다만 이 서비스를 제대로 활용하기 위해서는 서버에 세팅 작업이 필요하다.
[anchor(ddos400gbps)]DDoS 방어 솔루션도 지원하고 있는데 효과는 매우 탁월한 편이다. 실제 프랑스의 한 웹사이트에서 400Gbps[* 약 50GB/s]가 넘는 초대형 디도스 공격을 받았는데, 이를 Cloudflare에서 [방어하였다.] 솔루션 적용 시 의심되는 연결에 대해서 해당 연결이 악의적인 연결인지 아닌지 5초간의 딜레이를 넣어 판단한다.
이외에도 여러 가지 웹 최적화 기술들이 있는데, 그냥 다른 DNS 쓰듯이 클라우드 플레어 서버에 똑같이 연결만 해주면 클라우드 서버에서 전부 알아서 해준다. 예를 들어 따로 서버에 추가적인 작업을 하지 않아도 Minify를 시켜준다거나, Mirage라는 기술은 Pro 플랜부터 사용 가능한 대신 유저의 기기에 맞춰 해상도에 맞는 이미지를 알아서 리사이징 해 가져다준다.
[서비스] 클라우드 플레어는 2018년4월1일 만우절부터 공개 DNS 무료로 사용할수 있는 서비스를 시작하였다. 새 DNS 서비스에 대한 자세한 내용은 https://1.1.1.1/ 에서 확인할수 있다. 클라우드플레어의 전세계 응답 시간은 14ms로 OpenDNS의 24ms, 구글 DNS의 30ms보다 빨라 현재 전세계에서 가장 빠른 DNS 서버이다.클라우드플레어 DNS는 DNS-over-TLS와 DNS-over-HTTPS를 지원하며, 이번 HTTPS 지원으로 더 많은 운영체제와 브라우저에서 HTTPS를 지원할 것이라고 한다. 클라우드플레어는 "인터넷상에서 가장 빠르고 프라이버시를 우선으로 하는 DNS 서비스"임을 강조했다. 이미 OpenDNS나 구글 DNS 같은 공개 DNS 서비스가 여럿 나와 있지만 클라우드플레어는 모든 DNS 쿼리 로그를 24시간 이내 와이핑(wiping)하여 프라이버시에 중점을 두고 있다고 한다. IPv4 의 경우 DNS 를 1.1.1.1 과 1.0.0.1을 입력해주면 된다. IPv6 의 경우 DNS 를 2606:4700:4700::1111 과 2606:4700:4700::1001을 입력해주면 된다.
절대 빠르지 않다!
서울 지점 엣지가 있음에도 불구하고 Free 버전과 Pro 플랜을 사용할 경우 서울 엣지를 거치지 않는다. 서울 엣지가 작동하지 않아서 고객센터에 문의하면 월 200달러 이상을 내는 비즈니스 플랜으로 올리라고 답한다(...).
>이메일 답변 내용: >We recently made some changes to our network routing that has effected how traffic is served for some of our Free and Pro customers. On our Free or Pro plans, we serve you locally with any ISP that interconnects with us, but not necessarily for traffic accessed only via an ISP that does not peer with us. ㅡ If some of your traffic is being served to users at ISPs that do not peer with us, there is a good chance it may be served from non-local routes. Despite being closer to one particular PoP you might find that your traffic is flowing through another one located further away. While performance for some of these customers may be reduced at times, all other Cloudflare benefits will work the same. ㅡ You can read more about this on our blog: The relative cost of bandwidth around the world ㅡ If you want to make sure you retain access to all Cloudflare transit providers worldwide, please upgrade to our Business or Enterprise Plan in your Cloudflare dashboard, under the Overview section. --문장 그대로 결제하라는 뜻이다(...). 나무위키가 느려 터질 대로 터졌다면 [있는지 확인해보자]-- 다행히 나무위키는 비즈니스 플랜 이상을 사용하는 듯했지만 2017년 1월 14일 기준으로 LAX(미국)으로 연결되는 것이 확인되었다. 나무위키의 트래픽을 견디지 못한 클라우드 플레어 측이 나무위키를 엔터프라이즈 플랜으로 업그레이드하라는 압력을 준 듯하다. 엔터프라이즈 플랜은 1달에 최소 2500달러(한국 +1TB 트래픽당 60달러)[* 한국 기준. 한국은 직접 문의해보자]를 지불해야 하는 요금제이다.
한국 사이트 중 7번째로 접속자가 많은 사이트인 나무위키가 200달러만 내는 것도 문제긴 하지만[* 이 정도면 상당히 많은 애드센스 수익금을 받을 수 있다. similarweb 기준 한국 사이트 순위 중 만 번째 드는 사이트 기준(방문자수 만명)으로 한달에 300달러 정도 벌고 있는데, 11위권 정도인 나무위키(방문자수 3700만명)가 과연 얼마를 벌지 생각해보면 답이 나온다 이는 나무위키가 비영리로 운영되고 umanle S.R.L.에 유일한 밥줄은 나무라이브이기 때문이다. 나무위키가 대역폭을 모두 차지해버리는 바람에 최근 타 사이트들마저 한국 엣지 접속이 안되는 현상이 발생하고 있다. 실제로 위에 나온 메일 내용처럼 타 사이트들마저 프로로 업그레이드하라는 압력을 받고 있다.][* 위에서 방문자수 1만명에 월 30만원이라고 적혀있는데, 그 수입의 대부분은 트래픽 충당비로 들어가는게 현실이다. 방문자수 3700만명인 나무위키는 서버비로 월 천만원 단위가 나가는게 일반적이다.] 국내 회선 사업자들이 높은 가격을 제시[* "Due to high cost of transit traffic in ICN ..." 국내 회선 사업자들이 높은 가격을 제시해서 이같은 조치를 취한 것으로 보인다. 따라서 나무위키나 기타 클라우드 플레어를 사용하는 서비스가 느리다면, 통신사 고객센터에 따지자.]한 탓도 있다.
애초에 그 서버비 및 기타 제반 비용을 해결하기 위해 2015년 말에 나무위키에 광고를 달았는데, 그것이 나무위키 영리 논란으로 이어져 결국 namu가 나무위키를 umanle S.R.L.에 넘겼고 이를 이어받은 umanle 사도 영리 논란을 의식한 것인지 '나무위키는 광고를 달지 않겠다'라고 선언하였다. 즉 나무위키가 낮은 단계의 플랜을 이용하는 것은 이것 때문이다. 하지만 2018년 9월 15일 소리소문 없이 부활했다. 관련 문서들도 관리자만 보도록 설정되어 일반 유저들은 읽을 수 없다. 이유는 운영비 부족
이렇게 된 이유가 아시아의 트래픽 요금이 다른 지역보다 월등히 비싸서라고 한다.[* 7배 더 비싸다고 하다.] 그중 특히 눈에 띄는 두 나라가 바로 한국과 대만이다. 유럽에 비해 15배 트랜짓 요금이 이상 높다고 하니... 더 심각한건 한국은 그 비싼 요금이 계속 오르고 있는 세계에서 유일한 나라다. 이는 미래창조과학부가 상호 접속 협상을 규제하는 법안을 만들어서라고 한다. 덕분에 클라우드플레어는 한국 트래픽의 2%만이 피어 트래픽으로 접속된다고 한다. [* https://blog.cloudflare.com/bandwidth-costs-around-the-world/ ] 이 부분에 관한 자세한건 망 중립성 문서에 서술된 페이스북 접속 경로 변경 항목을 참고. 두 서비스가 동일한 상황이다.
그런데 클라우드플레어 적용 사이트 중 나무위키만 유난히 느렸던 것으로 보아 나무위키에도 문제가 있었던 것 같다(...). olleh 인터넷 사용자는 ICN엣지를 거치는 경우가 있으나 이 경우에도 나무위키는 속도가 느렸다. 현재는 나무위키에서 클라우드플레어를 사용하지 않는다.
국내 호스팅의 경우 대부분 해외 트래픽을 차단하거나 매우 적게 주므로, 클라우드플레어를 사용하게 되면 모든 트래픽이 해외 트래픽으로 통신하게 되고 호스팅 정지나 추가 요금이 엄청나게 부과될 수 있으니 주의를 요한다.
사이트가 클라우드플레어를 사용하고있다면, 주소 끝에 cdn-cgi/trace를 덧붙여서 어느 서버를 경유하고있는지 확인할 수 있다. ~~나무위키의 경우, [[2]] 이런식으로 입력하면 User-Agent와 정보가 나오는데 여기서 colo를 확인하면 알 수 있다. colo는 가까운 국제공항 코드로 나오지만, 어디인지 모르겠으면 구글링해보자. 바로 나온다. 2윌 22일 기준 시애틀이 뜬다. 2월 25일 기준, KT에서는 ICN이 뜬다. 다만 이는 비즈니스 플랜 사용자만 해당되는 것으로 보인다.~~
크롬의 경우 [확장 프로그램]을 설치하면 현재 연결중인 서버의 IP,[* 클라우드플레어 적용 사이트라면 클라우드플레어 IP가 뜬다.] 연결한 서버의 ID, 연결한 서버의 위치를 알 수 있다.
~~2018년 9월 기준 잘못된 정보이며 프리플랜도 도쿄에 서버가 배정되고 서울과 속도 차이가 없는 정도라는 주장이 있는데, 10월 4일 클라우드플레어 공식 사이트조차 ICN으로 연결되지 않고 LAX로 연결되고 있는 것을 확인했다. 애초에 도쿄로 연결된다고 해도 통신사가 해외 인터넷 속도 제한을 걸어서 상당히 느리며, 한국 호스팅을 사용하지 못한다.~~
2018년 10월 기준 CAFE24(한국)+CDN(도쿄) / AWS(서울) + CDN(도쿄) 실제 서비스되고있는 웹사이트의 벤치마크인데. 국내 3사 포털만큼 빠르다. [[3]]
사건 사고
CloudBleed
2017년 2월 구글 프로젝트 제로에서 엄청난 보안 취약점을 발표했다. 2016년 9월 22일부터 HTML 파서의 버그로 클라를 바라보는 엣지 서버의 메모리가 덤프 될 수 있었다. 물론 사이트에서 제어가 불가능하다. 구글 측에서 크롤링하다 문제를 발견했고 "현재" 캐싱된 덤프 된 메모리는 검색엔진들과 협의해서 지운 상태이다. 즉, 간단하게 2016년 9월 22일부터 Cloudflare를 사용한 모든 웹사이트의 비밀정보가 다 새나 간 중대 사건이 터졌다(...)
이 글을 읽고 있는 위키러라면 Cloudflare를 사용하는 사이트에서의 비밀번호를 즉시 바꾸는 것을 추천한다. 정확하게는 3,400여 개의 사이트가 이번 취약점에 노출되었는데, 이 서버들과 같은 엣지 서버를 사용하는 사이트들도 영향을 받기 때문에 정확한 피해 사이트들을 추정할 수 없다. 무슨 말이냐면 만약 Cloudflare의 엣지 서버가 1대라면 Cloudflare를 사용하는 모든 사이트들이 취약점에 노출된 것이고, 반면에 엣지 서버가 많다면 그만큼 피해 규모가 축소된다는 이야기 [[4]] 해당하는 사이트들의 리스트를 수집하는 Github 프로젝트도 생성되었다. [[5]] 이 곳의 사이트들을 보고 가입되어 있는 사이트라면 즉시 들어가서 비밀번호 등을 바꿔주자. 이미 비밀번호가 털렸다고 상정하고 행동하는 것이 좋다.
해당 취약점에 노출 되었을 수 있는 유명 사이트들
[노출 사이트 공유 프로젝트]에서 10,000개 이상의 사이트들을 확인할 수 있다. 목록이 꽤나 많으므로, 사이트 주소를 직접 검색하고 싶다면 [[6]] 검색할 수 있다. 확인되는 대로 추가 바람
해외
* 2ch * 미디엄 * 젠데스크 * 우버 * 디스코드 * 험블 번들
국내
* 나무위키[* 파일:external/p.imgone.xyz/1487948940958eac4.png] - 현재는 클라우드플레어를 사용하지 않지만, 과거에 노출되었을 수 있다. * 나무라이브[* 파일:external/p.imgone.xyz/1487948964354aa87.png] - 현재는 클라우드플레어를 사용하지 않지만, 과거에 노출되었을 수 있다. * 오늘의 유머 * 일간베스트 저장소 * 티비플 [* 전 운영자 헤스트의 말에 따르면 개인정보가 노출되었을 가능성은 없다고 한다. 다만 수많은 사이트들이 노출된 관계로 타사이트에서 같은 계정 ID및 비밀번호를 쓰고 있다면 바꾸는 것을 추천하고 있다[[7]]] * 마루마루 * 백괴사전
사용하는 사이트
- 범람 방지를 위해 나무위키에 문서가 있는 사이트만 가나다 순으로 정리하기를 바란다.
* 개드립넷 * 끄투코리아 * ~~나무라이브~~[* 현재는 사용하지 않는다.] * --나무위키--[* 2017년 2월 28일에 해지하였다.] * 냥코스페이스 * 누리위키 * 딴지일보 * 드조위키 * 리그베다 위키 * 리그 오브 레전드 웹사이트 * 리디북스 * 리브레 위키 * 마루마루 * --메갈리아--(폐쇄) * 미러 * --백괴사전--[* 2018년 7월 14일 기준 사용하지 않음.] * 브금저장소[* 현재 다운로드 서버(dl.bgms.kr)와 플레이어 서버(player.bgmstore.net)에만 사용 중이고 그 외 서버에는 사용하지 않고 있다.] * 스누라이프 * 시럽(웹사이트) *~~ 앱짱닷컴~~[* 현재는 사용하지 않는다.] * 오늘의유머 * 오리위키[* 프로 플랜에서 프리 플랜으로 내렸다.] * 오사위키 * 온나다 * 위키메이슨 * 일간워스트 * 일베저장소 * 워마드 * 조아라 닷컴 * 초소형국민체 위키 * --츄잉--[* 2018년 7월 14일 기준 사용하지 않고 있다.] * --큐비-- * --방통신-- * --트둥백과--(폐쇄) * 티비플 * 펀즈위키 * 피시나라 * 푹(대한죽창연합회) * 헬븐넷 * 2ch * 4chan * nhentai * osu![* 게임 호스팅이 왜 가능하냐면 로그인할 때 Bancho 서버에 들어가기 때문에 가능하다.] * reddit *브금전선(만화, 애니, 브금)
여담
ISIL와 관련된 사이트에도 서비스를 제공하고 있어서 어나니머스에게 비난받았다.사실 클라우드플레어를 이용하는 사이트가 수십만 개가 넘는데, IS 사이트를 모두 거른다는 건 말도 안 되는 일이다. 솔직히 말하면 해커들의 밥줄이 걸린 거라 뭐라도 덮어 씌우려는 일종의 언론 플레이라 봐도 무방할지 모른다. 클라우드 플레어에서는 디도스 방어와 해킹 보호 서비스들을 초보자들도 쓰기 쉽도록 매우 간단하게 제공하고 있기 때문에 쉽게 해킹되던 사이트라도 클라우드플레어 프로 버전의 방화벽을 쓰면 웬만한 취약점들은 전부 필터 된다.
클라우드플레어를 사용하는 사이트는 실제 서버 아이피를 알 수 없게 되는데, [알아내는 사이트]를 이용하면 흔히 사용되는 서브도메인을 이용해서 실제 서버 아이피를 알아낼 수도 있다. 클라우드플레어 사용 시 서버 직접 접속을 위해 서브도메인을 추가한 경우에만 찾을 수 있으며 작정하고 아이피를 숨긴 경우 알아낼 수 없다.