Accede a la telemetría de visibilidad de los ataques DDoS

Google Cloud Armor Enterprise te permite usar Cloud Logging y Cloud Monitoring para analicen los ataques DSD y sus fuentes.

Google Cloud Armor detecta y mitiga automáticamente los ataques de la capa de red (capa 3) y de la capa de transporte (capa 4), y realiza la mitigación antes de aplicar las políticas de seguridad y evaluar solo las solicitudes con el formato correcto en función de las reglas de tu política de seguridad. Por lo tanto, la disminución del tráfico como resultado de la protección contra DSD siempre activa no aparece en la telemetría de las políticas de seguridad ni de los backends.

En cambio, las métricas de Cloud Logging y Cloud Monitoring para los eventos de mitigación de DSD forman parte de la visibilidad de los ataques DSD, una función disponible exclusivamente para los suscriptores de Google Cloud Armor Enterprise. En las siguientes secciones, se explica cómo usar Logging y Monitoring para analizar ataques DSD y sus fuentes. La visibilidad de los ataques DSD está disponible para los siguientes tipos de balanceador de cargas:

  • Balanceador de cargas de aplicaciones externo global
  • Balanceador de cargas de aplicaciones clásico

Si usas la referencia de servicio entre proyectos, solo puedes ver la telemetría y el registro asociados con la visibilidad del ataque DSD en el proyecto host o de servicio que incluye el frontend y el mapa de URL de tu balanceador de cargas. No puedes ver la telemetría ni el registro en el proyecto de servicio que incluye los servicios de backend.

Registros de eventos de mitigación de ataques de Cloud Logging

Google Cloud Armor genera tres tipos de entradas de registro de eventos cuando se mitigan ataques de DSD. Los formatos de registro incluyen análisis de direcciones IP de origen y regiones cuando es posible. En las siguientes secciones, se proporcionan ejemplos del formato de registro para cada tipo de registro de eventos:

Se inició la mitigación

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_STARTED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "started": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
      },
      "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
            "pps": "10000",
            "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
            "pps": "5000",
            "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
            "pps": "100000",
            "bps": "20000000"
            }
         }
      ]
      }
   }
   

Mitigación en curso

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ONGOING",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "ongoing": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
         },
         "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
               "pps": "10000",
               "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
               "pps": "5000",
               "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
               "pps": "100000",
               "bps": "20000000"
            }
         }
      ]
      }
   }
   

Finalización de la mitigación

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ENDED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "2314000",
         "bps": "9768000000"
      },
      "ended": {
         "attackDurationSeconds": 345
      }
   }
   

En la consola de Google Cloud, ve a la página Explorador de registros y consulta el recurso ProtectedEndpoint.

Ir al Explorador de registros

Como alternativa, puedes ver el nombre del registro network_dos_attack_mitigations.

Métricas de Cloud Monitoring

Las métricas de telemetría de mitigación de DSD se pueden ver en el recurso Extremo de red protegido (ProtectedEndpoint), que es exclusivo de las direcciones IP virtuales de la capa de aplicación (capa 7) que están inscritas en Google Cloud Armor Enterprise. Las métricas disponibles son las siguientes:

  • Bytes de entrada (/dos/ingress_bytes)
  • Paquetes de entrada (/dos/ingress_packets)

Puedes agrupar y filtrar las métricas anteriores según las siguientes etiquetas:

Etiqueta Valor
project_id El ID de tu proyecto que está inscrito en Cloud Armor Enterprise.
location La ubicación de tu extremo protegido.
vip La dirección IP virtual del extremo protegido.
drop_status Valores posibles:
  • processed: La protección contra DSD siempre activa de Google Cloud Armor no rechazó el tráfico, lo que significa que se evaluó en función de tus políticas de seguridad.
  • blocked: La protección contra DSD siempre activa de Google Cloud Armor rechazó el tráfico y lo descartó antes de evaluarlo en función de tus políticas de seguridad.

En la consola de Google Cloud, ve a la página Explorador de métricas.

Ir al Explorador de métricas

Cómo interpretar las métricas de telemetría de las direcciones IP virtuales con volúmenes de tráfico bajos

En el caso de las direcciones IP virtuales (VIP) que reciben menos de 100,000 paquetes por segundo, te recomendamos que uses un período más largo para ver las métricas en Cloud Monitoring. Por ejemplo, en el caso de un VIP con mayor tráfico, se podría usar un ALIGN_RATE de un minuto, pero recomendamos un ALIGN_RATE de 10 minutos. El uso de un período más largo ayuda a reducir el volumen de artefactos que resultan de una mala relación señal/ruido.

Además, algunos componentes de la tasa a la que Google Cloud Armor descarta el tráfico (la tasa de descarte) se infieren por medios estadísticos y pueden ser menos precisos para los VIPs de bajo tráfico. Esto significa que, durante un ataque DSD, la tasa de disminución que informa Cloud Monitoring podría ser ligeramente inferior a la tasa de disminución real. Esto reduce los artefactos estadísticos que pueden llevar a una sobreestimación del volumen de tráfico perdido, en especial para los usuarios VIP que reciben un volumen bajo de tráfico y no están bajo ataque.