Auf Telemetrie zur Sichtbarkeit von DDoS-Angriffen zugreifen

Mit Google Cloud Armor Enterprise können Sie DDoS-Angriffe und ihre Quellen mit Cloud Logging und Cloud Monitoring analysieren.

Google Cloud Armor erkennt und behebt automatisch Angriffe auf Netzwerkebene (Ebene 3) und Transportebene (Ebene 4). Die Behebung erfolgt, bevor Sicherheitsrichtlinien erzwungen werden, und es werden nur wohlgeformte Anfragen anhand Ihrer Sicherheitsrichtlinien bewertet. Daher wird der durch den aktiven DDoS-Schutz verursachte Traffic-Rückgang nicht in der Telemetrie für Sicherheitsrichtlinien oder Backends angezeigt.

Stattdessen sind die Cloud Logging- und Cloud Monitoring-Messwerte für DDoS-Mitigationsereignisse Teil der Sichtbarkeit von DDoS-Angriffen, einer Funktion, die ausschließlich für Abonnenten von Google Cloud Armor Enterprise verfügbar ist. In den folgenden Abschnitten wird erläutert, wie Sie mithilfe von Logging und Monitoring DDoS-Angriffe und ihre Quellen analysieren können. Die Sichtbarkeit von DDoS-Angriffen ist für die folgenden Load Balancer-Typen verfügbar:

  • Globaler externer Application Load Balancer
  • Klassischer Application Load Balancer

Wenn Sie projektübergreifende Dienstverweise verwenden, können Sie die mit der Sichtbarkeit von DDoS-Angriffen verknüpfte Telemetrie und Protokollierung nur im Host- oder Dienstprojekt aufrufen, das das Frontend und die URL-Zuordnung Ihres Load Balancers enthält. Sie können die Telemetrie und Logging-Daten nicht im Dienstprojekt mit den Backend-Diensten aufrufen.

Ereignisprotokolle der Cloud Logging-Angriffsabwehr

Google Cloud Armor generiert drei Arten von Ereignisprotokolleinträgen, um DDoS-Angriffe abzuwehren. Die Protokollformate enthalten nach Möglichkeit Analysen von Quell-IP-Adressen und -regionen. Die folgenden Abschnitte enthalten Beispiele für das Logformat für jeden Typ von Ereignisprotokoll:

Abwehr gestartet

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_STARTED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "started": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
      },
      "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
            "pps": "10000",
            "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
            "pps": "5000",
            "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
            "pps": "100000",
            "bps": "20000000"
            }
         }
      ]
      }
   }
   

Abwehr wird ausgeführt

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ONGOING",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "ongoing": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
         },
         "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
               "pps": "10000",
               "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
               "pps": "5000",
               "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
               "pps": "100000",
               "bps": "20000000"
            }
         }
      ]
      }
   }
   

Abwehr beendet

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ENDED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "2314000",
         "bps": "9768000000"
      },
      "ended": {
         "attackDurationSeconds": 345
      }
   }
   

Rufen Sie in der Google Cloud Console die Seite „Log-Explorer“ auf und sehen Sie sich die Ressource ProtectedEndpoint an.

Zum Log-Explorer

Alternativ können Sie sich den network_dos_attack_mitigations-Lognamen ansehen.

Cloud Monitoring-Messwerte

Telemetriemesswerte zur DDoS-Bewältigung sind unter der Ressource Protected Network Endpoint (ProtectedEndpoint) zu sehen. Diese Ressource ist ausschließlich für virtuelle IP-Adressen der Anwendungsschicht (Layer 7) verfügbar, die bei Google Cloud Armor Enterprise registriert sind. Folgende Messwerte sind verfügbar:

  • Eingehende Byte (/dos/ingress_bytes)
  • Pakete für ausgehenden Traffic (/dos/ingress_packets)

Sie können die oben genannten Messwerte nach den folgenden Labels gruppieren und filtern:

Label Wert
project_id Die ID Ihres Projekts, das für Cloud Armor Enterprise registriert ist.
location Der Speicherort Ihres geschützten Endpunkts.
vip Die virtuelle IP-Adresse des geschützten Endpunkts.
drop_status Mögliche Werte:
  • processed: Der Traffic wurde nicht vom aktiven DDoS-Schutz von Google Cloud Armor abgelehnt. Er wurde also anhand Ihrer Sicherheitsrichtlinien ausgewertet.
  • blocked: Der Traffic wurde vom Google Cloud Armor-DDoS-Schutz abgelehnt und gelöscht, bevor er anhand Ihrer Sicherheitsrichtlinien überprüft wurde.

Rufen Sie in der Google Cloud Console die Seite „Metrics Explorer“ auf.

Zum Metrics Explorer

Telemetriemesswerte für virtuelle IP-Adressen mit geringem Trafficvolumen auswerten

Für virtuelle IP-Adressen (VIPs), die weniger als 100.000 Pakete pro Sekunde empfangen, empfehlen wir ein längeres Zeitfenster, um Messwerte in Cloud Monitoring aufzurufen. Wenn ein VIP mit höherem Traffic beispielsweise eine ALIGN_RATE von einer Minute verwendet, empfehlen wir stattdessen eine ALIGN_RATE von 10 Minuten. Mit einem längeren Zeitfenster lässt sich die Anzahl der Artefakte reduzieren, die durch ein schlechtes Signal-Rausch-Verhältnis entstehen.

Außerdem werden einige Komponenten der Rate, mit der Google Cloud Armor den Traffic ablegt (die Aussetzrate), anhand statistischer Mittel ermittelt und sind bei VIPs mit geringem Traffic möglicherweise weniger genau. Das bedeutet, dass während eines DDoS-Angriffs die in Cloud Monitoring gemeldete Ausfallrate möglicherweise etwas niedriger ist als die tatsächliche Ausfallrate. So werden statistische Artefakte reduziert, die zu einer Überschätzung der Anzahl der abgelehnten Zugriffe führen können, insbesondere bei VIPs, die nur wenige Zugriffe erhalten und nicht angegriffen werden.