Wikimedia Foundation

Cloudflare Magic Transit 使 Wikimedia 在大規模 DDoS 攻擊後重新連線

Wikimedia Foundation 是一家非營利組織,營運著維基百科和一系列其他免費知識專案,如 Wikimedia Commons、維基語錄和維基詞典等。該基金會致力於提供免費知識,其願景是創造一個人人皆可自由共用所有知識的世界。

這些專案由全球志願者社群營運,基金會的員工則負責維護背後的技術骨幹網,宣導支援免費知識的政策和保護措施,並且協助志願者獲取來自不同語言、文化和各洲的知識。

挑戰:阻止使 Wikimedia 全球網站離線的大規模 DDoS 攻擊

Wikimedia Foundation 技術長 Grant Ingersoll 解釋說:「Wikimedia 希望成為免費知識生態系統中不可或缺的基礎結構。我們希望人人都能存取我們的內容,使用這些內容並將之融入他們的生活中,豐富他們的人生,並且幫助建設更加美好的網際網路。」

Wikimedia 的網站必須可靠、安全且快速,才能實現這個目標。網站可靠性工程總監 Faidon Liambotis 表示,「如果我們的網站無法存取或難以使用,或者被傀儡程式破壞,建立和編輯我們所有內容的志願者便無法開展工作。我希望我的團隊能在夜裡安心入眠,確信我們所有的網站都正常運作。」

在安全性方面,Wikimedia 已經好幾年未曾遭受大型 DDoS 攻擊了。不幸的是,這家組織的運氣於 2019 年 9 月 7 日耗盡,一場大規模攻擊致使其網站無法存取,首先是歐洲、非洲和中東,然後蔓延到美國和亞洲等其他地區。員工網站可靠性工程師 Chris Danis 回憶道,「攻擊在高峰時達到了數百 Gbps」。

在服務中斷的前幾小時,Wikimedia 的團隊試圖封鎖攻擊並使網站恢復連線,可惜未能成功。Danis 解釋說,「我們嘗試了一些緩解措施,其涉及了重新對應基於 GeoDNS 的負載平衡,也在流量透過對等連結進入時嘗試了一些流量工程措施。」

解決方案:Wikimedia 使用 Magic Transit 快速恢復連線

Cloudflare 與 Wikimedia 取得了聯繫,並主動提出使用 Magic Transit 來提供協助,這是一種保護網路基礎結構的解決方案。Liambotis 依然記得,攻擊發生之後 Cloudflare 便迅速伸出援手,儘管那是星期五的晚間。他說道,「該團隊聯繫我們時,已經對發生的情況了然於心。」

Dannis 補充道,「我們還沒有說什麼,Cloudflare 安全性營運中心和威脅情報團隊便已掌握了攻擊特徵,即來自 65535 連接埠的 TCP ACK。Cloudflare 給我們報了攻擊估測,遠超我們能夠衡量的程度。啟用了 Magic Transit 後,Cloudflare (在不同的點使用不同的單位) 測量了攻擊:頻寬約 300Gbps,TCP ACK 流量達 105MPPS,UDP 洪水達 340MPPS。」

Liambotis 反映,使用 Magic Transit 後,他的團隊可以透過對路由策略進行必要變更來封鎖攻擊。他指出,「不過,這是一種簡化。攻擊斷斷續續,模式也不斷改變。Magic Transit 解決了問題,即便攻擊發生了變動。」

結果與成效:Magic Transit 是 Wikimedia 的 DDoS 防禦策略的重要組成部份

Wikimedia 繼續使用 Magic Transit 來緩解 DDoS 攻擊。Liambotis 很欣賞這款工具視需求開關的能力。「能夠關閉 Cloudflare 對我們 IP 空間的宣告,這讓我們在出現狀況時有了選擇。」

即使 Magic Transit 處於活躍狀態時,也不會干擾 Wikimedia 專案與其使用者之間現有的端到端加密。這是除技術能力外,Magic Transit 成為該團隊正確選擇的又一原因。「我們讚賞 Cloudflare 對我們安全性和隱私需求的回應能力。身為一家組織,我們十分重視隱私問題。」

Wikimedia 還欣賞另外一點,Magic Transit 在網路邊緣篩選流量,而不是像某些雲端「清理」供應商那樣將其轉移到集中化清理中心。Liambotis 說道,「別的方案採用更加集中化的架構。它們不是在邊緣篩選,而是透過幾個遙遠的清理中心來進行,因而不符合我們對處理能力與功能的要求。如果某一清理中心發生問題,而我們的流量卻被轉移到那裡,這就會對我們造成延遲問題。」

Danis 補充道:「啟用集中化清理中心所需的路由變更會影響使用者延遲和緩解時間。而像 Magic Transit 那樣在邊緣進行全域篩選,能夠減少合法流量的延遲。」

Liambotis 指出,「從基礎結構風險角度來看,DDoS 在我們的名單上排名很高,而 Cloudflare Magic Transit 是我們 DDoS 緩解策略的基礎。」

給 Wikimedia 團隊留下深刻印象的還有問題發生時 Cloudflare 的回應能力。Danis 回憶道,「部署 Magic Transit 之後,有幾個不同的場合我們必須要與 Cloudflare 團隊互動,其中包括一個涉及 Cloudflare 網路元件內路由迴圈的棘手問題。我們被他們的回應速度和技術能力深深打動。」

Ingersoll 補充道:「Cloudflare 擁有可靠的基礎結構和一支非常稱職且反應迅速的團隊。他們準備充分,可以抵禦最大規模的攻擊。」

相關產品
主要成效
  • Cloudflare Magic Transit 使 Wikimedia 的資料中心在大規模 DDoS 攻擊造成週期性全球服務中斷後重新連線。

  • 在靠近源頭的 Cloudflare 連接點處檢查流量是否存在威脅,即使在 DDoS 攻擊期間,也可以確保 Wikimedia 的流量快速傳送。

從基礎結構風險的角度來看,DDoS 在我們的名單上排名很高,而 Cloudflare Magic Transit 是我們 DDoS 緩解策略的基礎。

Faidon Liambotis
網站可靠性工程總監

Cloudflare 具有可靠的基礎結構以及一支非常稱職且反應迅速的團隊。他們準備充分,可以抵禦最大規模的攻擊。

Grant Ingersoll
技術長