Wikimedia Foundation

Cloudflare Magic Transit 使 Wikimedia 在大規模 DDoS 攻擊後重新連線

Wikimedia Foundation 是一家非營利組織，營運著維基百科和一系列其他免費知識專案，如 Wikimedia Commons、維基語錄和維基詞典等。該基金會致力於提供免費知識，其願景是創造一個人人皆可自由共用所有知識的世界。

這些專案由全球志願者社群營運，基金會的員工則負責維護背後的技術骨幹網，宣導支援免費知識的政策和保護措施，並且協助志願者獲取來自不同語言、文化和各洲的知識。

挑戰：阻止使 Wikimedia 全球網站離線的大規模 DDoS 攻擊

Wikimedia Foundation 技術長 Grant Ingersoll 解釋說：「Wikimedia 希望成為免費知識生態系統中不可或缺的基礎結構。我們希望人人都能存取我們的內容，使用這些內容並將之融入他們的生活中，豐富他們的人生，並且幫助建設更加美好的網際網路。」

Wikimedia 的網站必須可靠、安全且快速，才能實現這個目標。網站可靠性工程總監 Faidon Liambotis 表示，「如果我們的網站無法存取或難以使用，或者被傀儡程式破壞，建立和編輯我們所有內容的志願者便無法開展工作。我希望我的團隊能在夜裡安心入眠，確信我們所有的網站都正常運作。」

在安全性方面，Wikimedia 已經好幾年未曾遭受大型 DDoS 攻擊了。不幸的是，這家組織的運氣於 2019 年 9 月 7 日耗盡，一場大規模攻擊致使其網站無法存取，首先是歐洲、非洲和中東，然後蔓延到美國和亞洲等其他地區。員工網站可靠性工程師 Chris Danis 回憶道，「攻擊在高峰時達到了數百 Gbps」。

在服務中斷的前幾小時，Wikimedia 的團隊試圖封鎖攻擊並使網站恢復連線，可惜未能成功。Danis 解釋說，「我們嘗試了一些緩解措施，其涉及了重新對應基於 GeoDNS 的負載平衡，也在流量透過對等連結進入時嘗試了一些流量工程措施。」

解決方案：Wikimedia 使用 Magic Transit 快速恢復連線

Cloudflare 與 Wikimedia 取得了聯繫，並主動提出使用 Magic Transit 來提供協助，這是一種保護網路基礎結構的解決方案。Liambotis 依然記得，攻擊發生之後 Cloudflare 便迅速伸出援手，儘管那是星期五的晚間。他說道，「該團隊聯繫我們時，已經對發生的情況了然於心。」

Dannis 補充道，「我們還沒有說什麼，Cloudflare 安全性營運中心和威脅情報團隊便已掌握了攻擊特徵，即來自 65535 連接埠的 TCP ACK。Cloudflare 給我們報了攻擊估測，遠超我們能夠衡量的程度。啟用了 Magic Transit 後，Cloudflare (在不同的點使用不同的單位) 測量了攻擊：頻寬約 300Gbps，TCP ACK 流量達 105MPPS，UDP 洪水達 340MPPS。」

Liambotis 反映，使用 Magic Transit 後，他的團隊可以透過對路由策略進行必要變更來封鎖攻擊。他指出，「不過，這是一種簡化。攻擊斷斷續續，模式也不斷改變。Magic Transit 解決了問題，即便攻擊發生了變動。」

結果與成效：Magic Transit 是 Wikimedia 的 DDoS 防禦策略的重要組成部份

Wikimedia 繼續使用 Magic Transit 來緩解 DDoS 攻擊。Liambotis 很欣賞這款工具視需求開關的能力。「能夠關閉 Cloudflare 對我們 IP 空間的宣告，這讓我們在出現狀況時有了選擇。」

即使 Magic Transit 處於活躍狀態時，也不會干擾 Wikimedia 專案與其使用者之間現有的端到端加密。這是除技術能力外，Magic Transit 成為該團隊正確選擇的又一原因。「我們讚賞 Cloudflare 對我們安全性和隱私需求的回應能力。身為一家組織，我們十分重視隱私問題。」

Wikimedia 還欣賞另外一點，Magic Transit 在網路邊緣篩選流量，而不是像某些雲端「清理」供應商那樣將其轉移到集中化清理中心。Liambotis 說道，「別的方案採用更加集中化的架構。它們不是在邊緣篩選，而是透過幾個遙遠的清理中心來進行，因而不符合我們對處理能力與功能的要求。如果某一清理中心發生問題，而我們的流量卻被轉移到那裡，這就會對我們造成延遲問題。」

Danis 補充道：「啟用集中化清理中心所需的路由變更會影響使用者延遲和緩解時間。而像 Magic Transit 那樣在邊緣進行全域篩選，能夠減少合法流量的延遲。」

Liambotis 指出，「從基礎結構風險角度來看，DDoS 在我們的名單上排名很高，而 Cloudflare Magic Transit 是我們 DDoS 緩解策略的基礎。」

給 Wikimedia 團隊留下深刻印象的還有問題發生時 Cloudflare 的回應能力。Danis 回憶道，「部署 Magic Transit 之後，有幾個不同的場合我們必須要與 Cloudflare 團隊互動，其中包括一個涉及 Cloudflare 網路元件內路由迴圈的棘手問題。我們被他們的回應速度和技術能力深深打動。」

Ingersoll 補充道：「Cloudflare 擁有可靠的基礎結構和一支非常稱職且反應迅速的團隊。他們準備充分，可以抵禦最大規模的攻擊。」