Wikimedia Foundation

Cloudflare Magic Transit 使 Wikimedia 在大规模 DDoS 攻击后重新上线

Wikimedia Foundation 是一家非盈利组织,运营着维基百科和一系列其他免费知识项目,如 Wikimedia Commons、维基语录和维基词典等。该基金会致力于提供免费知识,其愿景是创造一个人人皆可自由共享所有知识的世界。

这些项目由全球志愿者社区运营,基金会的员工则负责维护项目的技术骨干网,倡导支持免费知识的政策和保护措施,并且协助志愿者获取来自不同语言、文化和大陆的知识。

挑战:阻击使 Wikimedia 全球网站离线的大规模 DDoS 攻击

Wikimedia Foundation 首席技术官 Grant Ingersoll 解释说:“Wikimedia 希望成为免费知识生态系统中不可或缺的基础设施。我们希望人人都能访问我们的内容,使用这些内容并将之融入他们的生活中,丰富他们的人生,并且帮助建设更加美好的互联网。”

Wikimedia 的站点必须可靠、安全且快速,才能实现这个目标。网站可靠性工程总监 Faidon Liambotis 表示,“如果我们的网站无法访问或难以使用,或者被机器人破坏,创建和编辑我们所有内容的志愿者便无法开展工作。我希望我的团队能在夜里安心入眠,确信我们所有的网站都正常工作。”

在安全性方面,Wikimedia 已经好几年未曾遭受大型 DDoS 攻击了。不幸的是,这家组织的运气于 2019 年 9 月 7 日耗尽,一场大规模攻击致使它的站点不可访问,首先是欧洲、非洲和中东,然后蔓延到美国和亚洲等其他地区。员工站点可靠性工程师 Chris Danis 回忆道,“攻击在高峰时达到了数百 Gbps”。

在服务中断的前几小时,Wikimedia 的团队试图阻止攻击并使站点恢复在线,可惜未获成功。Danis 解释说,“我们尝试了一些缓解措施,其涉及了重新映射基于 GeoDNS 的负载平衡,也在流量通过对等链路进入时尝试了一些流量工程措施。”

解决方案:Wikimedia 使用 Magic Transit 快速恢复在线

Cloudflare 与 Wikimedia 取得了联系,并主动提出使用 Magic Transit 来提供协助,这是一种保护网络基础设施的解决方案。Liambotis 依然记得,攻击发生之后 Cloudflare 便迅速伸出援手,尽管那是星期五的晚间。他说道,“该团队联系我们时,已经对发生的情况了然于心。”

Dannis 补充道,“我们还没有说什么,Cloudflare 安全运营中心和威胁情报团队便已掌握了攻击特征,即来自 65535 端口的 TCP ACK。Cloudflare 给我们报了攻击估测,远超我们能够衡量的程度。启用了 Magic Transit 后,Cloudflare(在不同的点使用不同的单位)测量了攻击:带宽约 300Gbps,TCP ACK 流量达 105MPPS,UDP 洪水达 340MPPS。”

Liambotis 反映,使用 Magic Transit 后,他的团队可以通过对路由策略进行必要更改来阻止攻击。他指出,“不过,这是一种简化。攻击断断续续,模式也不断改变。Magic Transit 解决了问题,即便攻击发生了变动。”

结果与成效:Magic Transit 是 Wikimedia 的 DDoS 防御策略的重要组成部分

Wikimedia 继续使用 Magic Transit 来缓解 DDoS 攻击。Liambotis 很欣赏这款工具的按需开关能力。“能够关闭 Cloudflare 对我们 IP 空间的公告,这让我们在出现状况时有了选择。”

即使 Magic Transit 处于活跃状态时,也不会干扰 Wikimedia 项目与其用户之间现有的端到端加密。这是除技术能力外,Magic Transit 成为该团队正确选择的又一原因。“我们赞赏 Cloudflare 对我们安全和隐私需求的响应能力。身为一家组织,我们十分重视隐私问题。”

Wikimedia 还欣赏另外一点,Magic Transit 在网络边缘过滤流量,而不是像某些云“清理”供应商那样将其转移到集中式清理中心。Liambotis 说道,“别的方案采用更加集中化的架构。它们不是在边缘过滤,而是通过几个遥远的清理中心来进行,因而不符合我们对容量和功能的要求。如果某一清理中心发生问题,而我们的流量却被转移到那里,这就会给我们造成延迟问题。”

“The routing changes required to enable a centralized scrubbing center affect both user latency and also time-to-mitigate,” Danis adds. “Filtering globally at the edge, like Magic Transit does, saves on latency for legitimate traffic.”

Liambotis 指出,“从基础架构风险角度来看,DDoS 在我们的名单上排名很高,而 Cloudflare Magic Transit 是我们 DDoS 防护策略的基础。”

给 Wikimedia 团队留下深刻印象的还有问题发生时 Cloudflare 的响应能力。Danis 回忆道,“部署 Magic Transit 之后,有几个不同的场合我们必须要与 Cloudflare 团队互动,其中包括一个涉及 Cloudflare 网络组件内路由环路的棘手问题。我们被他们的响应速度和技术能力深深打动。”

Ingersoll 补充道,“Cloudflare 拥有可靠的基础设施和一支非常称职且反应迅速的团队。Cloudflare DDoS 保护能够阻止最大规模的 DDoS 攻击。”

Related Products
Key Results
  • Cloudflare Magic Transit 使 Wikimedia 的数据中心在大规模 DDoS 攻击造成周期性全球中断后重新上线。

  • 在靠近源头的 Cloudflare 接入点处检查流量是否存在威胁,即使在 DDoS 攻击期间,也可以确保 Wikimedia 的流量快速传送。

从基础架构风险的角度来看,DDoS 在我们的名单上排名很高,而 Cloudflare Magic Transit 是我们 DDoS 防护策略的基础。

Faidon Liambotis
站点可靠性工程总监

Cloudflare 拥有可靠的基础设施和一支非常称职且反应迅速的团队。Cloudflare DDoS 防护能够阻止最大规模的 DDoS 攻击。

Grant Ingersoll
首席技术官