Cloudflare使Wikimedia在大規(guī)模DDoS 攻擊后重新上線

Cloudflare Magic Transit 使 Wikimedia 在大規(guī)模 DDoS 攻擊后重新上線

Wikimedia Foundation 是一家非盈利組織，運營著維基百科和一系列其他免費知識項目，如 Wikimedia Commons、維基語錄和維基詞典等。該基金會致力于提供免費知識，其愿景是創(chuàng)造一個人人皆可自由共享所有知識的世界。

這些項目由全球志愿者社區(qū)運營，基金會的員工則負責維護項目的技術(shù)骨干網(wǎng)，倡導(dǎo)支持免費知識的政策和保護措施，并且協(xié)助志愿者獲取來自不同語言、文化和大陸的知識。

挑戰(zhàn)：阻擊使 Wikimedia 全球網(wǎng)站離線的大規(guī)模 DDoS 攻擊

Wikimedia Foundation 首席技術(shù)官 Grant Ingersoll 解釋說：“Wikimedia 希望成為免費知識生態(tài)系統(tǒng)中不可或缺的基礎(chǔ)設(shè)施。我們希望人人都能訪問我們的內(nèi)容，使用這些內(nèi)容并將之融入他們的生活中，豐富他們的人生，并且?guī)椭ㄔO(shè)更加美好的互聯(lián)網(wǎng)?！?/span>

Wikimedia 的站點必須可靠、安全且快速，才能實現(xiàn)這個目標。網(wǎng)站可靠性工程總監(jiān) Faidon Liambotis 表示，“如果我們的網(wǎng)站無法訪問或難以使用，或者被機器人破壞，創(chuàng)建和編輯我們所有內(nèi)容的志愿者便無法開展工作。我希望我的團隊能在夜里安心入眠，確信我們所有的網(wǎng)站都正常工作?！?/span>

在安全性方面，Wikimedia 已經(jīng)好幾年未曾遭受大型 DDoS 攻擊了。不幸的是，這家組織的運氣于 2019 年 9 月 7 日耗盡，一場大規(guī)模攻擊致使它的站點不可訪問，首先是歐洲、非洲和中東，然后蔓延到美國和亞洲等其他地區(qū)。員工站點可靠性工程師 Chris Danis 回憶道，“攻擊在高峰時達到了數(shù)百 Gbps”。

在服務(wù)中斷的前幾小時，Wikimedia 的團隊試圖阻止攻擊并使站點恢復(fù)在線，可惜未獲成功。Danis 解釋說，“我們嘗試了一些緩解措施，其涉及了重新映射基于 GeoDNS 的負載平衡，也在流量通過對等鏈路進入時嘗試了一些流量工程措施?！?/span>

解決方案：Wikimedia 使用 Magic Transit 快速恢復(fù)在線

Cloudflare 與 Wikimedia 取得了聯(lián)系，并主動提出使用 Magic Transit 來提供協(xié)助，這是一種保護網(wǎng)絡(luò)基礎(chǔ)設(shè)施的解決方案。Liambotis 依然記得，攻擊發(fā)生之后 Cloudflare 便迅速伸出援手，盡管那是星期五的晚間。他說道，“該團隊聯(lián)系我們時，已經(jīng)對發(fā)生的情況了然于心?！?/span>

Dannis 補充道，“我們還沒有說什么，Cloudflare 安全運營中心和威脅情報團隊便已掌握了攻擊特征，即來自 65535 端口的 TCP ACK。Cloudflare 給我們報了攻擊估測，遠超我們能夠衡量的程度。啟用了 Magic Transit 后，Cloudflare（在不同的點使用不同的單位）測量了攻擊：帶寬約 300Gbps，TCP ACK 流量達 105MPPS，UDP 洪水達 340MPPS?！?/span>

Liambotis 反映，使用 Magic Transit 后，他的團隊可以通過對路由策略進行必要更改來阻止攻擊。他指出，“不過，這是一種簡化。攻擊斷斷續(xù)續(xù)，模式也不斷改變。Magic Transit 解決了問題，即便攻擊發(fā)生了變動?！?/span>

結(jié)果與成效：Magic Transit 是 Wikimedia 的 DDoS 防御策略的重要組成部分

Wikimedia 繼續(xù)使用 Magic Transit 來緩解 DDoS 攻擊。Liambotis 很欣賞這款工具的按需開關(guān)能力。“能夠關(guān)閉 Cloudflare 對我們 IP 空間的公告，這讓我們在出現(xiàn)狀況時有了選擇。”

即使 Magic Transit 處于活躍狀態(tài)時，也不會干擾 Wikimedia 項目與其用戶之間現(xiàn)有的端到端加密。這是除技術(shù)能力外，Magic Transit 成為該團隊正確選擇的又一原因?！拔覀冑澷p Cloudflare 對我們安全和隱私需求的響應(yīng)能力。身為一家組織，我們十分重視隱私問題。”

Wikimedia 還欣賞另外一點，Magic Transit 在網(wǎng)絡(luò)邊緣過濾流量，而不是像某些云“清理”供應(yīng)商那樣將其轉(zhuǎn)移到集中式清理中心。Liambotis 說道，“別的方案采用更加集中化的架構(gòu)。它們不是在邊緣過濾，而是通過幾個遙遠的清理中心來進行，因而不符合我們對容量和功能的要求。如果某一清理中心發(fā)生問題，而我們的流量卻被轉(zhuǎn)移到那里，這就會給我們造成延遲問題?！?/span>

Danis 補充道，“啟用集中式清理中心所需的路由更改會影響用戶延遲和緩解時間。而像 Magic Transit 那樣在邊緣進行全局過濾，能夠減少合法流量的延遲?！?/span>

Liambotis 指出，“從基礎(chǔ)架構(gòu)風險角度來看，DDoS 在我們的名單上排名很高，而 Cloudflare Magic Transit 是我們 DDoS 防護策略的基礎(chǔ)。”

給 Wikimedia 團隊留下深刻印象的還有問題發(fā)生時 Cloudflare 的響應(yīng)能力。Danis 回憶道，“部署 Magic Transit 之后，有幾個不同的場合我們必須要與 Cloudflare 團隊互動，其中包括一個涉及 Cloudflare 網(wǎng)絡(luò)組件內(nèi)路由環(huán)路的棘手問題。我們被他們的響應(yīng)速度和技術(shù)能力深深打動?！?/span>

Ingersoll 補充道，“Cloudflare 擁有可靠的基礎(chǔ)設(shè)施和一支非常稱職且反應(yīng)迅速的團隊。Cloudflare DDoS 保護能夠阻止最大規(guī)模的 DDoS 攻擊?！?/span>