Fundación Wikimedia

Cloudflare Magic Transit vuelve a poner en línea a Wikimedia después de un ataque DDoS masivo

La Fundación Wikimedia es la organización sin fines de lucro que opera Wikipedia y una variedad de proyectos de conocimiento libre, que incluye Wikimedia Commons, Wikiquote y Wiktionary. La Fundación está comprometida con el conocimiento libre, y su visión es crear un mundo en el que todas las personas puedan compartir libremente el conocimiento.

Si bien estos proyectos están dirigidos por una comunidad global de voluntarios, el personal de la Fundación está a cargo del sistema tecnológico central de estos proyectos, y apoya políticas y protecciones que fomentan el conocimiento libre, y apoya a los voluntarios en sus esfuerzos por captar el conocimiento a través de idiomas, culturas y continentes.

Desafío: detener un ataque DDoS masivo que sacó de línea a los sitios de Wikimedia en todo el mundo

"Wikimedia quiere convertirse en la infraestructura esencial del ecosistema del conocimiento libre" —explica Grant Ingersoll, director de tecnología (CTO) de la Fundación Wikimedia. "Queremos que todos tengan acceso a nuestro contenido, que lo usen y lo incorporen en sus vidas, que enriquezcan sus vidas y que ayuden a lograr un mejor Internet".

Para alcanzar este objetivo, los sitios de Wikimedia deben ser confiables, seguros y rápidos. "Los voluntarios que crean y editan todo nuestro contenido no pueden hacer su trabajo si nuestros sitios no son accesibles, son difíciles de usar o son atacados por bots" —afirma Faidon Liambotis, director de ingeniería de fiabilidad del sitio. "Quiero que mi equipo pueda dormir tranquilo por la noche, seguros de que todos nuestros sitios web están funcionando".

En cuanto a la seguridad, Wikimedia no había sufrido un ataque DDoS grande durante varios años. Lamentablemente, la suerte de la organización cambió el 7 de septiembre de 2019, cuando un ataque masivo impidió el acceso a sus sitios, primero en Europa, África y Oriente Medio, y luego en otras partes del mundo, incluso en Estados Unidos y Asia. "En el pico del ataque, eran cientos de Gbps", recuerda Chris Danis, ingeniero de confiabilidad del sitio.

Durante las primeras horas de la interrupción, el equipo de Wikimedia intentó sin éxito detener los ataques y volver a poner sus sitios en línea. "Intentamos varias mitigaciones que implicaban reasignar nuestro equilibrio de carga basado en GeoDNS, e intentamos aplicar algunas medidas de ingeniería de tráfico cuando el tráfico entraba a través de enlaces de emparejamiento" —explica Danis.

Solución: Wikimedia utiliza Magic Transit para volver a conectarse con rapidez

Cloudflare se comunicó con Wikimedia y ofreció brindar asistencia con Magic Transit, una solución que protege la infraestructura de la red. Liambotis recuerda que se comunicaron de inmediato en el momento del ataque, aunque era un viernes a la noche. "Cuando el equipo se comunicó con nosotros, ya sabían lo que estaba pasando" —dice.

"Creo que el centro de operaciones de seguridad de Cloudflare y el equipo de inteligencia para detectar amenazas ya conocían la firma del ataque (TCP ACK del puerto 65535) antes de que les pidiéramos ayuda" —agrega Danis". "Cloudflare nos brindó estimaciones de ataques que eran, de manera significativa, mayores a lo que nosotros podíamos medir". Una vez que se activó Magic Transit, Cloudflare midió el ataque (en diferentes puntos, en diferentes unidades) en aproximadamente 300 Gbps de ancho de banda, 105 MPPS de tráfico TCP ACK y 340 MPPS de inundaciones UDP".

Liambotis informa que con Magic Transit, su equipo pudo detener el ataque mediante cambios necesarios en sus políticas de enrutamiento. "Sin embargo, esta es una simplificación" —señala. El ataque se activaba y se desactivaba, y cambiaba los patrones. Magic Transit resolvió el problema, incluso cuando el ataque se movía".

Resultados y beneficios: Magic Transit es una pieza esencial de la estrategia de defensa de DDoS de Wikimedia

Wikimedia continúa utilizando Magic Transit para mitigar los ataques DDoS. Liambotis valora que la herramienta se puede activar y desactivar según sea necesario. "Poder desactivar los anuncios de Cloudflare de nuestro espacio IP nos da opciones en caso de que algo salga mal".

Magic Transit tampoco interfiere con la encriptación extremo a extremo entre los proyectos de Wikimedia y sus usuarios, incluso cuando está activo. Esto, además de las capacidades técnicas, hizo que Magic Transit fuera la opción correcta para el equipo. "Valoramos la capacidad de respuesta de Cloudflare a nuestras necesidades de seguridad y privacidad. Como organización, somos muy sensibles a las cuestiones de privacidad".

Wikimedia también valora que Magic Transit filtre el tráfico en el perímetro de la red en lugar de desviarlo a un centro de depuración centralizado, como lo hacen algunos proveedores de "depuración" en la nube. "Otras opciones utilizan una arquitectura más centralizada" —afirma Liambotis. "No filtran en el perímetro, sino en algunos centros de depuración distantes, por lo tanto, no cumplían con nuestros requisitos de capacidad y funciones. Si tuvieran un problema en uno de sus centros de depuración y nuestro tráfico se desviase hacia allí, tendríamos problemas de latencia".

“The routing changes required to enable a centralized scrubbing center affect both user latency and also time-to-mitigate,” Danis adds. “Filtering globally at the edge, like Magic Transit does, saves on latency for legitimate traffic.”

"Desde la perspectiva del riesgo de infraestructura, el riesgo de DDoS es muy elevado en nuestra lista —afirma Liambotis— y Cloudflare Magic Transit es fundamental para nuestra estrategia de mitigación de DDoS".

El equipo de Wikimedia sigue impresionado con la capacidad de respuesta de Cloudflare cuando surgen problemas. "Hemos tenido que interactuar con el equipo de Cloudflare en varias ocasiones desde que implementamos Magic Transit, incluso por un problema complejo que implicaba enrutar bucles dentro de partes de la red de Cloudflare" —recuerda Danis. "Nos ha impresionado la velocidad de respuesta y la competencia técnica".

"Cloudflare cuenta con una infraestructura confiable, y un equipo sumamente idóneo y receptivo. Están muy bien capacitados para desviar incluso el mayor de los ataques" —agrega Ingersoll.

Productos relacionados
Resultados clave
  • Cloudflare Magic Transit volvió a poner en línea los centros de datos de Wikimedia después de que un ataque DDoS masivo causara interrupciones periódicas a nivel global.

  • Las inspecciones de tráfico en busca de amenazas en puntos de presencia de Cloudflare cerca del origen garantiza que el tráfico de Wikimedia sea rápido, incluso durante los ataques DDoS.

«Desde la perspectiva del riesgo de infraestructura, el riesgo de DDoS es muy elevado en nuestra lista, y Cloudflare Magic Transit es fundamental para nuestra estrategia de mitigación de DDoS.»

Faidon Liambotis
Director de ingeniería de confiabilidad del sitio

«Cloudflare cuenta con una infraestructura confiable y un equipo sumamente idóneo y receptivo. Están muy bien posicionados para desviar incluso el mayor de los ataques.»

Grant Ingersoll
Director de tecnología