Accedere alla telemetria della visibilità degli attacchi DDoS

Google Cloud Armor Enterprise ti consente di utilizzare Cloud Logging e Cloud Monitoring per analizzare gli attacchi DDoS e le relative sorgenti.

Google Cloud Armor rileva e mitiga automaticamente gli attacchi al livello di rete (livello 3) e al livello di trasporto (livello 4), eseguendo la mitigazione prima di applicare i criteri di sicurezza e valutando solo le richieste di formato corretto rispetto alle regole dei criteri di sicurezza. Pertanto, il calo del traffico a seguito della protezione DDoS sempre attiva non viene visualizzato nella telemetria per i criteri di sicurezza o i backend.

Le metriche di Cloud Logging e Cloud Monitoring per gli eventi di mitigazione DDoS fanno invece parte della visibilità degli attacchi DDoS, una funzionalità disponibile esclusivamente per gli abbonati a Google Cloud Armor Enterprise. Le sezioni seguenti spiegano come utilizzare il monitoraggio e la registrazione per analizzare gli attacchi DDoS e le relative sorgenti. La visibilità degli attacchi DDoS è disponibile per i seguenti tipi di bilanciatori del carico:

  • Bilanciatore del carico delle applicazioni esterno globale
  • Bilanciatore del carico delle applicazioni classico

Se utilizzi il riferimento ai servizi tra progetti, puoi visualizzare la telemetria e i log associati alla visibilità degli attacchi DDoS solo nel progetto host o di servizio che include la mappa frontend e URL del bilanciatore del carico. Non puoi visualizzare la telemetria e i log nel progetto di servizio che include i servizi di backend.

Log degli eventi di mitigazione degli attacchi di Cloud Logging

Google Cloud Armor genera tre tipi di voci di log degli eventi durante la mitigazione degli attacchi DDoS. I formati dei log includono analisi di indirizzi IP di origine e geografie, se possibile. Le sezioni seguenti forniscono esempi del formato del log per ogni tipo di log eventi:

Migrazione avviata

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_STARTED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "started": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
      },
      "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
            "pps": "10000",
            "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
            "pps": "5000",
            "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
            "pps": "100000",
            "bps": "20000000"
            }
         }
      ]
      }
   }
   

Migrazione in corso

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ONGOING",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "ongoing": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
         },
         "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
               "pps": "10000",
               "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
               "pps": "5000",
               "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
               "pps": "100000",
               "bps": "20000000"
            }
         }
      ]
      }
   }
   

Migrazione terminata

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ENDED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "2314000",
         "bps": "9768000000"
      },
      "ended": {
         "attackDurationSeconds": 345
      }
   }
   

Nella console Google Cloud, vai alla pagina Esplora log e visualizza la risorsa ProtectedEndpoint.

Vai a Esplora log

In alternativa, puoi visualizzare il nome del log network_dos_attack_mitigations.

Metriche di Cloud Monitoring

Le metriche di telemetria per la mitigazione dei DDoS sono visibili nella risorsa Endpoint di rete protetto (ProtectedEndpoint), che è esclusiva per gli indirizzi IP virtuali di livello di applicazione (livello 7) registrati in Google Cloud Armor Enterprise. Le metriche disponibili sono le seguenti:

  • Byte in entrata (/dos/ingress_bytes)
  • Pacchetti in entrata (/dos/ingress_packets)

Puoi raggruppare e filtrare le metriche precedenti in base alle seguenti etichette:

Etichetta Valore
project_id L'ID del progetto registrato in Cloud Armor Enterprise.
location La posizione dell'endpoint protetto.
vip L'indirizzo IP virtuale dell'endpoint protetto.
drop_status Valori possibili:
  • processed: il traffico non è stato negato dalla protezione DDoS sempre attiva di Google Cloud Armor, il che significa che è stato valutato in base ai tuoi criteri di sicurezza.
  • blocked: il traffico è stato negato dalla protezione DDoS sempre attiva di Google Cloud Armor ed è stato interrotto prima di essere valutato in base ai tuoi criteri di sicurezza.

Nella console Google Cloud, vai alla pagina Metrics Explorer.

Vai a Esplora metriche

Interpretazione delle metriche di telemetria per gli indirizzi IP virtuali con volumi di traffico ridotti

Per gli indirizzi IP virtuali (VIP) che ricevono meno di 100.000 pacchetti al secondo, ti consigliamo di utilizzare una finestra temporale più lunga per visualizzare le metriche in Cloud Monitoring. Ad esempio, se un VIP con un traffico più elevato potrebbe utilizzare un ALIGN_RATE di un minuto, consigliamo invece un ALIGN_RATE di 10 minuti. L'utilizzo di un intervallo di tempo più lungo consente di ridurre il volume di artefatti derivanti da un cattivo rapporto segnale/rumore.

Inoltre, alcuni componenti della frequenza con cui Google Cloud Armor riduce il traffico (il tasso di riduzione) vengono dedotti con metodi statistici e potrebbero essere meno accurati per i VIP con traffico ridotto. Ciò significa che durante un attacco DDoS, il tasso di caduta registrato da Cloud Monitoring potrebbe essere leggermente inferiore al tasso di caduta reale. In questo modo si riducono gli artefatti statistici che possono portare a una sovrastima del volume di traffico perso, in particolare per i VIP che ricevono un volume ridotto di traffico e non sono soggetti ad attacchi.