Wikimedia Foundation

Cloudflare Magic Transit 使 Wikimedia 在大规模 DDoS 攻击后重新上线

Wikimedia Foundation 是一家非盈利组织，运营着维基百科和一系列其他免费知识项目，如 Wikimedia Commons、维基语录和维基词典等。该基金会致力于提供免费知识，其愿景是创造一个人人皆可自由共享所有知识的世界。

这些项目由全球志愿者社区运营，基金会的员工则负责维护项目的技术骨干网，倡导支持免费知识的政策和保护措施，并且协助志愿者获取来自不同语言、文化和大陆的知识。

挑战：停止导致 Wikimedia 全球网站下线的大规模 DDoS 攻击

Wikimedia Foundation 首席技术官 Grant Ingersoll 解释说：“Wikimedia 希望成为免费知识生态系统中不可或缺的基础设施。我们希望人人都能访问我们的内容，使用这些内容并将之融入他们的生活中，丰富他们的人生，并且帮助建设更加美好的互联网。”

Wikimedia 的站点必须可靠、安全且快速，才能实现这个目标。网站可靠性工程总监 Faidon Liambotis 表示，“如果我们的网站无法访问或难以使用，或者被机器人破坏，创建和编辑我们所有内容的志愿者便无法开展工作。我希望我的团队能在夜里安心入眠，确信我们所有的网站都正常工作。”

在安全性方面，Wikimedia 已经好几年未曾遭受大型 DDoS 攻击了。不幸的是，这家组织的运气于 2019 年 9 月 7 日耗尽，一场大规模攻击致使它的站点不可访问，首先是欧洲、非洲和中东，然后蔓延到美国和亚洲等其他地区。员工站点可靠性工程师 Chris Danis 回忆道，“攻击在高峰时达到了数百 Gbps”。

在服务中断的前几小时，Wikimedia 的团队试图阻止攻击并使站点恢复在线，可惜未获成功。Danis 解释说，“我们尝试了一些缓解措施，其涉及了重新映射基于 GeoDNS 的负载平衡，也在流量通过对等链路进入时尝试了一些流量工程措施。”

解决方案：Wikimedia 使用 Magic Transit 快速重新上线

Cloudflare 与 Wikimedia 取得了联系，并主动提出使用 Magic Transit 来提供协助，这是一种保护网络基础设施的解决方案。Liambotis 依然记得，攻击发生之后 Cloudflare 便迅速伸出援手，尽管那是星期五的晚间。他说道，“该团队联系我们时，已经对发生的情况了然于心。”

Dannis 补充道，“我们还没有说什么，Cloudflare 安全运营中心和威胁情报团队便已掌握了攻击特征，即来自 65535 端口的 TCP ACK。Cloudflare 给我们报了攻击估测，远超我们能够衡量的程度。启用了 Magic Transit 后，Cloudflare（在不同的点使用不同的单位）测量了攻击：带宽约 300Gbps，TCP ACK 流量达 105MPPS，UDP 洪水达 340MPPS。”

Liambotis 反映，使用 Magic Transit 后，他的团队可以通过对路由策略进行必要更改来阻止攻击。他指出，“不过，这是一种简化。攻击断断续续，模式也不断改变。Magic Transit 解决了问题，即便攻击发生了变动。”

结果与成效：Magic Transit 是 Wikimedia 的 DDoS 防御策略的重要组成部分

Wikimedia 继续使用 Magic Transit 来缓解 DDoS 攻击。Liambotis 很欣赏这款工具的按需开关能力。“能够关闭 Cloudflare 对我们 IP 空间的公告，这让我们在出现状况时有了选择。”

即使 Magic Transit 处于活跃状态时，也不会干扰 Wikimedia 项目与其用户之间现有的端到端加密。这是除技术能力外，Magic Transit 成为该团队正确选择的又一原因。“我们赞赏 Cloudflare 对我们安全和隐私需求的响应能力。身为一家组织，我们十分重视隐私问题。”

Wikimedia 还欣赏另外一点，Magic Transit 在网络边缘过滤流量，而不是像某些云“清理”供应商那样将其转移到集中式清理中心。Liambotis 说道，“别的方案采用更加集中化的架构。它们不是在边缘过滤，而是通过几个遥远的清理中心来进行，因而不符合我们对容量和功能的要求。如果某一清理中心发生问题，而我们的流量却被转移到那里，这就会给我们造成延迟问题。”

Dani 还表示：“启用集中式清洗中心所需的路由更改会影响用户延迟和缓解时间。而像 Magic Transit 那样在边缘进行全球过滤，就能减少合法流量的延迟。”

Liambotis 指出，“从基础架构风险角度来看，DDoS 在我们的名单上排名很高，而 Cloudflare Magic Transit 是我们 DDoS 防护策略的基础。”

给 Wikimedia 团队留下深刻印象的还有问题发生时 Cloudflare 的响应能力。Danis 回忆道，“部署 Magic Transit 之后，有几个不同的场合我们必须要与 Cloudflare 团队互动，其中包括一个涉及 Cloudflare 网络组件内路由环路的棘手问题。我们被他们的响应速度和技术能力深深打动。”

Ingersoll 补充道，“Cloudflare 拥有可靠的基础设施和一支非常称职且反应迅速的团队。Cloudflare DDoS 保护能够阻止最大规模的 DDoS 攻击。”