Cloudflare使Wikimedia在大規(guī)模DDoS 攻擊后重新上線

Cloudflare Magic Transit 使 Wikimedia 在大規(guī)模 DDoS 攻擊后重新上線

Wikimedia Foundation 是一家非盈利組織，運(yùn)營(yíng)著維基百科和一系列其他免費(fèi)知識(shí)項(xiàng)目，如 Wikimedia Commons、維基語(yǔ)錄和維基詞典等。該基金會(huì)致力于提供免費(fèi)知識(shí)，其愿景是創(chuàng)造一個(gè)人人皆可自由共享所有知識(shí)的世界。

這些項(xiàng)目由全球志愿者社區(qū)運(yùn)營(yíng)，基金會(huì)的員工則負(fù)責(zé)維護(hù)項(xiàng)目的技術(shù)骨干網(wǎng)，倡導(dǎo)支持免費(fèi)知識(shí)的政策和保護(hù)措施，并且協(xié)助志愿者獲取來(lái)自不同語(yǔ)言、文化和大陸的知識(shí)。

挑戰(zhàn)：阻擊使 Wikimedia 全球網(wǎng)站離線的大規(guī)模 DDoS 攻擊

Wikimedia Foundation 首席技術(shù)官 Grant Ingersoll 解釋說(shuō)：“Wikimedia 希望成為免費(fèi)知識(shí)生態(tài)系統(tǒng)中不可或缺的基礎(chǔ)設(shè)施。我們希望人人都能訪問(wèn)我們的內(nèi)容，使用這些內(nèi)容并將之融入他們的生活中，豐富他們的人生，并且?guī)椭ㄔO(shè)更加美好的互聯(lián)網(wǎng)?！?/span>

Wikimedia 的站點(diǎn)必須可靠、安全且快速，才能實(shí)現(xiàn)這個(gè)目標(biāo)。網(wǎng)站可靠性工程總監(jiān) Faidon Liambotis 表示，“如果我們的網(wǎng)站無(wú)法訪問(wèn)或難以使用，或者被機(jī)器人破壞，創(chuàng)建和編輯我們所有內(nèi)容的志愿者便無(wú)法開(kāi)展工作。我希望我的團(tuán)隊(duì)能在夜里安心入眠，確信我們所有的網(wǎng)站都正常工作?！?/span>

在安全性方面，Wikimedia 已經(jīng)好幾年未曾遭受大型 DDoS 攻擊了。不幸的是，這家組織的運(yùn)氣于 2019 年 9 月 7 日耗盡，一場(chǎng)大規(guī)模攻擊致使它的站點(diǎn)不可訪問(wèn)，首先是歐洲、非洲和中東，然后蔓延到美國(guó)和亞洲等其他地區(qū)。員工站點(diǎn)可靠性工程師 Chris Danis 回憶道，“攻擊在高峰時(shí)達(dá)到了數(shù)百 Gbps”。

在服務(wù)中斷的前幾小時(shí)，Wikimedia 的團(tuán)隊(duì)試圖阻止攻擊并使站點(diǎn)恢復(fù)在線，可惜未獲成功。Danis 解釋說(shuō)，“我們嘗試了一些緩解措施，其涉及了重新映射基于 GeoDNS 的負(fù)載平衡，也在流量通過(guò)對(duì)等鏈路進(jìn)入時(shí)嘗試了一些流量工程措施。”

解決方案：Wikimedia 使用 Magic Transit 快速恢復(fù)在線

Cloudflare 與 Wikimedia 取得了聯(lián)系，并主動(dòng)提出使用 Magic Transit 來(lái)提供協(xié)助，這是一種保護(hù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的解決方案。Liambotis 依然記得，攻擊發(fā)生之后 Cloudflare 便迅速伸出援手，盡管那是星期五的晚間。他說(shuō)道，“該團(tuán)隊(duì)聯(lián)系我們時(shí)，已經(jīng)對(duì)發(fā)生的情況了然于心?！?/span>

Dannis 補(bǔ)充道，“我們還沒(méi)有說(shuō)什么，Cloudflare 安全運(yùn)營(yíng)中心和威脅情報(bào)團(tuán)隊(duì)便已掌握了攻擊特征，即來(lái)自 65535 端口的 TCP ACK。Cloudflare 給我們報(bào)了攻擊估測(cè)，遠(yuǎn)超我們能夠衡量的程度。啟用了 Magic Transit 后，Cloudflare（在不同的點(diǎn)使用不同的單位）測(cè)量了攻擊：帶寬約 300Gbps，TCP ACK 流量達(dá) 105MPPS，UDP 洪水達(dá) 340MPPS?！?/span>

Liambotis 反映，使用 Magic Transit 后，他的團(tuán)隊(duì)可以通過(guò)對(duì)路由策略進(jìn)行必要更改來(lái)阻止攻擊。他指出，“不過(guò)，這是一種簡(jiǎn)化。攻擊斷斷續(xù)續(xù)，模式也不斷改變。Magic Transit 解決了問(wèn)題，即便攻擊發(fā)生了變動(dòng)?！?/span>

結(jié)果與成效：Magic Transit 是 Wikimedia 的 DDoS 防御策略的重要組成部分

Wikimedia 繼續(xù)使用 Magic Transit 來(lái)緩解 DDoS 攻擊。Liambotis 很欣賞這款工具的按需開(kāi)關(guān)能力?！澳軌蜿P(guān)閉 Cloudflare 對(duì)我們 IP 空間的公告，這讓我們?cè)诔霈F(xiàn)狀況時(shí)有了選擇?！?/span>

即使 Magic Transit 處于活躍狀態(tài)時(shí)，也不會(huì)干擾 Wikimedia 項(xiàng)目與其用戶之間現(xiàn)有的端到端加密。這是除技術(shù)能力外，Magic Transit 成為該團(tuán)隊(duì)正確選擇的又一原因。“我們贊賞 Cloudflare 對(duì)我們安全和隱私需求的響應(yīng)能力。身為一家組織，我們十分重視隱私問(wèn)題。”

Wikimedia 還欣賞另外一點(diǎn)，Magic Transit 在網(wǎng)絡(luò)邊緣過(guò)濾流量，而不是像某些云“清理”供應(yīng)商那樣將其轉(zhuǎn)移到集中式清理中心。Liambotis 說(shuō)道，“別的方案采用更加集中化的架構(gòu)。它們不是在邊緣過(guò)濾，而是通過(guò)幾個(gè)遙遠(yuǎn)的清理中心來(lái)進(jìn)行，因而不符合我們對(duì)容量和功能的要求。如果某一清理中心發(fā)生問(wèn)題，而我們的流量卻被轉(zhuǎn)移到那里，這就會(huì)給我們?cè)斐裳舆t問(wèn)題。”

Danis 補(bǔ)充道，“啟用集中式清理中心所需的路由更改會(huì)影響用戶延遲和緩解時(shí)間。而像 Magic Transit 那樣在邊緣進(jìn)行全局過(guò)濾，能夠減少合法流量的延遲。”

Liambotis 指出，“從基礎(chǔ)架構(gòu)風(fēng)險(xiǎn)角度來(lái)看，DDoS 在我們的名單上排名很高，而 Cloudflare Magic Transit 是我們 DDoS 防護(hù)策略的基礎(chǔ)?！?/span>

給 Wikimedia 團(tuán)隊(duì)留下深刻印象的還有問(wèn)題發(fā)生時(shí) Cloudflare 的響應(yīng)能力。Danis 回憶道，“部署 Magic Transit 之后，有幾個(gè)不同的場(chǎng)合我們必須要與 Cloudflare 團(tuán)隊(duì)互動(dòng)，其中包括一個(gè)涉及 Cloudflare 網(wǎng)絡(luò)組件內(nèi)路由環(huán)路的棘手問(wèn)題。我們被他們的響應(yīng)速度和技術(shù)能力深深打動(dòng)。”

Ingersoll 補(bǔ)充道，“Cloudflare 擁有可靠的基礎(chǔ)設(shè)施和一支非常稱職且反應(yīng)迅速的團(tuán)隊(duì)。Cloudflare DDoS 保護(hù)能夠阻止最大規(guī)模的 DDoS 攻擊?！?/span>