Die Wikimedia Foundation ist eine gemeinnützige Organisation, die Wikipedia und eine Reihe anderer Projekte für Freies Wissen betreibt, darunter Wikimedia Commons, Wikiquote und Wiktionary. Die Stiftung engagiert sich für Freies Wissen und will eine Welt schaffen, in der jeder Mensch ohne Einschränkung an der Gesamtheit allen Wissens teilhaben kann.
Während diese Projekte von Freiwilligen rund um den Erdball durchgeführt werden, sorgen die Mitarbeiter der Stiftung für das technologische Rückgrat. Sie setzen sich für Richtlinien und Schutzmaßnahmen zur Förderung Freien Wissens ein und helfen Freiwilligen dabei, Wissen über Sprachen, Kulturen und Kontinente hinweg zu erfassen.
Die Herausforderung: Abwehr eines gewaltigen DDoS-Angriffs, der Wikimedia-Seiten auf der ganzen Welt lahmgelegt hat
„Wikimedia möchte im Bereich Freies Wissen zur grundlegenden Infrastruktur werden“, erklärt Grant Ingersoll, CTO der Wikimedia Foundation. „Wir möchten, dass jeder auf unsere Inhalte zugreifen, sie nutzen, sie in sein Leben integrieren und dieses damit bereichern kann. Außerdem wollen wir zum Aufbau eines besseren Internets beitragen.“
Ein solches Ziel lässt sich nur mit zuverlässigen, sicheren und schnell abrufbaren Websites erreichen. „Die Freiwilligen, die alle unsere Inhalte erstellen und bearbeiten, können ihre Arbeit nicht erledigen, wenn unsere Websites nicht zugänglich oder schwer zu benutzen sind oder wenn sie von Bots verwüstet werden“, sagt Faidon Liambotis, Director of Site Reliability Engineering. „Ich möchte, dass mein Team nachts ruhig schlafen und darauf vertrauen kann, dass alle unsere Websites funktionieren.“
Was die Sicherheit angeht, hatte Wikimedia seit mehreren Jahren keinen großen DDoS-Angriff mehr erlebt. Leider verließ die Organisation am 7. September 2019 ihr Glück, als ein Großangriff ihre Websites unerreichbar machte – zuerst in Europa, Afrika und im Nahen Osten, dann in den USA, Asien und anderen Teilen der Welt. „Auf dem Höhepunkt des Angriffs waren es Hunderte von Gbit/s“, erinnert sich Chris Danis, Staff Site Reliability Engineer.
In den ersten Stunden des Ausfalls versuchte das Team von Wikimedia erfolglos, die Angriffe zu stoppen und die Seiten wieder online zu bringen. „Wir haben es mit mehreren Abhilfemaßnahmen versucht, auch einer Neuzuordnung unserer GeoDNS-basierten Lastverteilung und einigen Traffic Engineering-Maßnahmen, wenn Datenverkehr über unsere Peering-Links eintrat“, erklärt Danis.
Die Lösung: Mithilfe von Magic Transit war Wikimedia schnell wieder online
Cloudflare wandte sich an Wikimedia und bot Unterstützung mit Magic Transit an, einer Lösung zum Schutz der Netzwerkinfrastruktur. Liambotis weiß noch, dass sich Cloudflare zum Zeitpunkt des Angriffs sofort bei Wikimedia gemeldet hat, obwohl dieser an einem Freitagabend stattfand. „Als das Team uns kontaktierte, wusste es bereits, was vor sich ging“, sagt er.
„Ich glaube, das Security Operations Center von Cloudflare und das Threat Intelligence Team kannten die Angriffssignatur – TCP ACK von Port 65535 – schon, bevor wir um irgendetwas bitten mussten“, fügt Danis hinzu. „Cloudflare nannte uns Schätzwerte zum Angriff, die deutlich über dem lagen, was wir messen konnten. Nachdem Magic Transit eingeschaltet wurde, hat Cloudflare für den Angriff (an verschiedenen Punkten und in verschiedenen Einheiten) etwa 300 Gbit/s Bandbreite, 105 MPPS TCP ACK Traffic und 340 MPPS UDP Flood gemessen.“
Liambotis berichtet, dass sein Team den Angriff dank Magic Transit stoppen konnte. Dazu wurden die notwendigen Änderungen in den Routing-Richtlinien vorgenommen. „Allerdings“, sagt er, „ist das eine vereinfachte Darstellung. Die Attacke erfolgte in Wellen und mit wechselnden Mustern. Magic Transit hat das Problem gelöst, obwohl sich der Angriff verändert hat.“
Ergebnisse und Vorteile: Magic Transit ist ein wichtiger Baustein der DDoS-Verteidigungsstrategie von Wikimedia
Wikimedia setzt Magic Transit weiterhin zur Bekämpfung von DDoS-Angriffen ein. Liambotis weiß es zu schätzen, dass das Tool je nach Bedarf ein- und ausgeschaltet werden kann. „Die Möglichkeit, die Bekanntgabe unseres IP-Adressraums bei Cloudflare auszuschalten, gibt uns Optionen für den Fall, dass etwas schief geht.“
Magic Transit greift auch nicht in die bestehende Ende-zu-Ende-Verschlüsselung zwischen Wikimedia-Projekten und ihren Nutzern ein, selbst wenn die Lösung aktiv ist. Diese Eigenschaft macht Magic Transit zur richtigen Wahl für das Team, ganz abgesehen von den technischen Leistungsmerkmalen. „Wir wissen es zu schätzen, dass Cloudflare auf unsere Sicherheits- und Datenschutzbedürfnisse reagiert. Als Organisation sind wir beim Thema Datenschutz sehr sensibel.“
Wikimedia begrüßt es auch, dass Magic Transit den Traffic am Netzwerkrand filtert, anstatt ihn – wie
einige Anbieter von Cloud-„Scrubbing“-Produkten – in ein zentrales Scrubbing-Center umzuleiten. „Andere Provider setzen auf stärker zentralisierte Architekturen“, sagt Liambotis. „Sie filtern nicht am Rand, sondern in einigen weit entfernten Scrubbing-Centern, sodass sie unseren Anforderungen an Kapazität und Funktionsfähigkeit nicht gerecht werden. Wenn in einem dieser Scrubbing-Center ein Problem entstünde und unser Traffic dorthin umgeleitet würde, hätten wir am Ende Latenzprobleme.“
„Die für die Nutzung eines zentralen Scrubbing-Centers erforderlichen Änderungen beim Routing wirken sich sowohl auf die Latenz für die Nutzer als auch auf die Abwehrzeit aus“, fügt Danis hinzu. „Durch allgemeines Filtern am Netzwerkrand, wie es mit Magic Transit geschieht, weist legitimer Traffic eine geringere Latenz auf.“
„Wenn es um Infrastrukturrisiken geht, steht DDoS ganz oben auf unserer Liste und Cloudflare Magic Transit ist das Fundament unserer DDoS-Abwehrstrategie.“
Das Wikimedia-Team ist nach wie vor beeindruckt, wie schnell Cloudflare auf Probleme reagieren kann. „Seit dem Einsatz von Magic Transit mussten wir uns bei verschiedenen Gelegenheiten mit dem Team von Cloudflare austauschen, darunter auch bei einem kniffligen Problem mit Routing-Schleifen innerhalb von Teilen des Cloudflare-Netzwerks“, erinnert sich Danis. „Wir waren beeindruckt von der Reaktionszeit und der technischen Kompetenz.“
„Cloudflare verfügt über eine zuverlässige Infrastruktur und ein äußerst kompetentes und reaktionsschnelles Team. Das Unternehmen ist bestens aufgestellt, um selbst die größten Angriffe abzuwehren“, so Ingersoll.
Cloudflare Magic Transit hat die Wikimedia-Rechenzentren wieder ans Netz gebracht, nachdem ein groß angelegter DDoS-Angriff regelmäßig globale Ausfälle verursacht hatte.
Da der Traffic an einem Point of Presence von Cloudflare in der Nähe der Quelle auf Bedrohungen überprüft wird, läuft der Datenverkehr von Wikimedia immer zügig – selbst bei DDoS-Angriffen.
“DDoS steht in Sachen Infrastrukturrisiken ganz weit oben auf unserer Liste und Cloudflare Magic Transit bildet das Fundament unserer DDoS-Abwehrstrategie.”
Faidon Liambotis
Director of Site Reliability Engineering
“Cloudflare verfügt über eine zuverlässige Infrastruktur und ein ebenso kompetentes wie reaktionsschnelles Team.das bestens gerüstet ist, um selbst die größten Angriffe abzuwehren.”
Grant Ingersoll
CTO