Wikimedia Foundation

Cloudflare Magic Transit riporta Wikimedia online dopo un massiccio attacco DDoS

La Wikimedia Foundation è l'organizzazione senza scopo di lucro che gestisce Wikipedia e una serie di altri progetti di conoscenza libera, tra cui Wikimedia Commons, Wikiquote e Wikitionary. La Fondazione è impegnata nella libera conoscenza e la sua visione è quella di creare un mondo in cui tutte le persone possano condividere liberamente tutta la conoscenza che hanno.

Mentre questi progetti sono gestiti da una comunità globale di volontari, il personale della Fondazione gestisce la base tecnologica di questi progetti, sostiene politiche e protezioni che supportano la conoscenza libera e supporta i volontari nei loro sforzi per acquisire conoscenza attraverso lingue, culture e continenti.

Problema: Fermare un massiccio attacco DDoS che ha messo offline i siti Wikimedia in tutto il mondo

"Wikimedia vuole diventare l'infrastruttura essenziale dell'ecosistema della conoscenza libera", ha spiegato Grant Ingersoll, CTO della Wikimedia Foundation. "Vogliamo che tutti possano accedere ai nostri contenuti, utilizzarli e incorporarli, arricchire le loro vite e contribuire a costruire un Internet migliore".

Il raggiungimento di questo obiettivo implica che i siti di Wikimedia devono essere affidabili, sicuri e veloci. "I volontari che creano e modificano tutti i nostri contenuti non possono svolgere il loro lavoro se i nostri siti non sono accessibili, se sono difficili da usare o se vengono vandalizzati dai bot", ha dichiarato Faidon Liambotis, direttore di Site Reliability Engineering. "Voglio che il mio team possa dormire la notte, sicuro che tutti i nostri siti Web funzionino come previsto".

Sul fronte della sicurezza, Wikimedia non subiva un grosso attacco DDoS da diversi anni. Sfortunatamente, la fortuna dell'organizzazione si è esaurita il 7 settembre 2019, quando un massiccio attacco ha reso inaccessibili i suoi siti, prima in Europa, Africa e Medio Oriente, e poi in altre parti del mondo, inclusi Stati Uniti e Asia. "Al picco dell'attacco, erano centinaia di Gb/s", ricorda Chris Danis, Staff Site Reliability Engineer.

Durante le prime ore dell'interruzione, il team di Wikimedia ha tentato senza successo di fermare gli attacchi e riportare i suoi siti online. "Abbiamo tentato diverse mitigazioni che hanno comportato la rimappatura del nostro bilanciamento del carico basato su GeoDNS e provato alcune misure di ingegneria del traffico quando il traffico entrava attraverso i nostri collegamenti di peering", ha spiegato Danis.

Soluzione: Wikimedia ha utilizzato Magic Transit per tornare rapidamente online

Cloudflare ha contattato Wikimedia e si è offerto di assisterlo utilizzando Magic Transit, una soluzione che protegge l'infrastruttura di rete. Liambotis ricorda di aver contattato immediatamente al momento dell'attacco, anche se in quel momento era venerdì sera. "Quando il team ci ha contattato, sapeva già cosa stava succedendo", ha dichiarato.

"Penso che il centro operativo di sicurezza e il team di intelligence sulle minacce di Cloudflare conoscessero già la firma dell'attacco (TCP ACK dalla porta 65535) prima che chiedessimo loro qualcosa", ha aggiunto Danis. “Cloudflare ci ha fornito stime degli attacchi che erano significativamente superiori a quelle che siamo stati in grado di misurare. Una volta attivato Magic Transit, Cloudflare ha misurato l'attacco (in punti diversi, in unità diverse) a circa 300 Gb/s di larghezza di banda, 105 MPPS di traffico TCP ACK e 340 MPPS di UDP flood.

Liambotis riferisce che con Magic Transit il suo team è stato in grado di fermare l'attacco apportando le modifiche necessarie alle politiche di routing. "Tuttavia", osserva, "questa è una semplificazione. L'attacco era intermittente, cambiava schema. Magic Transit ha risolto il problema, anche mentre l'attacco si muoveva".

Risultati e vantaggi: Magic Transit è un elemento essenziale della strategia di difesa DDoS di Wikimedia

Wikimedia continua a utilizzare Magic Transit per mitigare gli attacchi DDoS. Liambotis apprezza che lo strumento possa essere attivato e disattivato secondo necessità. "Essere in grado di disattivare gli annunci di Cloudflare del nostro spazio IP ci offre opzioni nel caso in cui qualcosa vada storto".

Magic Transit inoltre non interferisce con la crittografia end-to-end esistente tra i progetti Wikimedia e i loro utenti, anche quando è attiva. Questo, oltre alle sue capacità tecniche, ha reso Magic Transit la scelta giusta per il team. Abbiamo apprezzato la reattività di Cloudflare alle nostre esigenze di sicurezza e privacy. Come organizzazione, siamo molto sensibili alle preoccupazioni dei nostri clienti in merito di privacy".

Wikimedia apprezza anche il fatto che Magic Transit filtri il traffico ai margini della rete invece di deviarlo verso uno scrubbing center centralizzato, come fanno alcuni fornitori di servizi di "scrubbing" del cloud. Altre opzioni utilizzano un'architettura più centralizzata", ha affermato Liambotis. "Non filtrano il traffico al perimetro ma in centri di scrubbing distanti, quindi non hanno soddisfatto i nostri requisiti di capacità e funzionalità. Se si fosse verificato un problema in uno dei loro centri di scrubbing e il nostro traffico fosse stato deviato lì, ci saremmo ritrovati ad affrontare problemi di latenza".

"Le modifiche al routing necessarie per abilitare uno scrubbing center centralizzato influiscono sia sulla latenza dell'utente che sul tempo di mitigazione", ha aggiunto Danis. "Filtrare globalmente a livello perimetrale, come fa Magic Transit, consente di risparmiare sulla latenza a favore del traffico legittimo".

"Dal punto di vista del rischio infrastrutturale, gli attacchi DDoS sono in cima alla nostra lista", ha affermato Liambotis, "e Cloudflare Magic Transit è fondamentale per la nostra strategia di mitigazione degli attacchi DDoS".

Il team di Wikimedia continua a essere impressionato dalla reattività di Cloudflare in caso di problemi. "Dopo l'implementazione di Magic Transit, abbiamo dovuto interagire con il team di Cloudflare in diverse occasioni, incluso un problema delicato che riguardava i loop di instradamento all'interno di parti della rete di Cloudflare", ha ricordato Danis. "Siamo rimasti colpiti dalla velocità di risposta e dalla competenza tecnica".

"Cloudflare dispone di un'infrastruttura affidabile e di un team estremamente competente e reattivo. Sono ben posizionati per deviare anche il più grande degli attacchi", ha aggiunto Ingersoll.

Wikimedia Foundation
Prodotti correlati
Risultati principali
  • Cloudflare Magic Transit ha riportato online i datacenter di Wikimedia dopo che un massiccio attacco DDoS ha causato periodiche interruzioni globali.

  • Ispezionare il traffico alla ricerca di minacce in un punto di presenza Cloudflare vicino alla sorgente assicura che il traffico di Wikimedia rimanga veloce, anche nel corso di attacchi DDoS.

Dal punto di vista del rischio infrastrutturale, gli attacchi DDoS sono in cima alla nostra lista e Cloudflare Magic Transit è fondamentale per la nostra strategia di mitigazione degli attacchi DDoS.

Faidon Liambotis
Director of Site Reliability Engineering

Cloudflare dispone di un'infrastruttura affidabile e di un team estremamente competente e reattivo. Sono nella posizione ottimale per deviare anche gli attacchi più massicci.

Grant Ingersoll
CTO