Cloudflare从其热门网站排名中删除了Aisuru僵尸网络相关域名，因该僵尸网络操控数十万台物联网设备，通过虚假流量提升恶意域名排名并攻击Cloudflare的DNS服务。Aisuru自2024年出现以来规模迅速扩大，已具备发动创纪录DDoS攻击的能力。

标题：Cloudflare将"爱刷"僵尸网络域名移出热门榜单

主要内容： 过去一周，与大规模"爱刷"(Aisuru)僵尸网络相关的域名在Cloudflare的网站访问量排行榜中多次超越亚马逊、苹果、谷歌和微软等巨头。Cloudflare随后采取行动，将这些恶意域名从榜单中剔除。该公司CEO表示，该僵尸网络正通过操纵DNS查询量来提升其域名排名，同时攻击Cloudflare的DNS服务。

技术细节： 1. "爱刷"僵尸网络由数十万台被入侵的物联网设备组成，包括安全性薄弱的路由器和监控摄像头。自2024年出现以来，其规模持续扩大，最高可发动每秒30TB流量的DDoS攻击。

2. 该僵尸网络近期将其控制的设备DNS服务器从谷歌(8.8.8.8)切换至Cloudflare(1.1.1.1)，导致其控制域名异常出现在热门榜单中。其中一个恶意域名甚至连续多日占据榜首位置。

应对措施： - Cloudflare对恶意域名进行部分遮蔽处理 - 在排行榜顶部添加警示说明 - 计划改进排名算法以识别恶意流量

行业观点： 1. 安全公司Infoblox高管指出，域名排名涉及复杂的标准化处理，许多因素超出服务商控制范围。

2. 反钓鱼公司Epi CEO认为，虽然技术原因可以解释这一现象，但这仍反映出Cloudflare在维护榜单公信力方面的失职。他建议将真实用户访问与原始查询量数据分开统计。

后续影响： - Cloudflare已开始完全隐藏这些恶意域名 - 但下载完整数据仍可看到相关域名位居榜首 - 约52%的恶意域名查询来自美国，主要通过AT&T等运营商网络

技术背景： - 该僵尸网络使用.su(前苏联)顶级域名的控制服务器 - .su域名近期在Cloudflare统计中显示异常活跃 - 安全专家建议监控.su域名的访问行为作为检测指标

（注：文中保留了关键的技术细节和各方观点，删减了部分重复性解释和次要的背景信息，使内容更加紧凑聚焦。）

总结评论内容：

1. 关于双重排名系统的争议

• 支持方认为应区分真实用户和DNS流量排名："We should have two rankings: one representing trust and real human use, and another derived from raw DNS volume"
• 反对方认为识别真实用户不可行："Isn't identifying real humans an unsolved problem?"

2. 对微软和Facebook的质疑

• 认为微软应被标记为恶意软件："given the anti-user behaviour of modern Windows, shouldn't microsoft.com be down as malware too?"
• 建议Facebook标记为诈骗网站："facebook should certainly be down as 'scams'"

3. 关于DNS安全和僵尸网络的讨论

• 提出利用DNS对抗僵尸网络的设想："It'd be funny if Cloudflare could steal the botnet that way"
• 指出物联网设备难以彻底修复："IoT nonsense probably can't be properly fixed"

4. 对自动服务信任机制的批评

• 质疑为何不检查域名分类信息："why can't it also pull the categorization information that's right there"
• 认为这是用户操作问题："That's PEBCAK"

5. 关于移除决定的争议

• 反对移除决定认为应保持透明度："Find it a pity that the decision was to remove them instead of owning how the ranking is made"
• 认为移除会降低数据价值："Removing them just makes it poorer imho"