Acessar a telemetria de visibilidade de ataques DDoS

O Google Cloud Armor Enterprise permite usar o Cloud Logging e o Cloud Monitoring para analisar ataques DDoS e suas origens.

O Google Cloud Armor detecta e mitiga automaticamente ataques à camada de rede (Camada 3) e à camada de transporte (Camada 4), realizando a mitigação antes de aplicar políticas de segurança e avaliando apenas solicitações bem formadas em relação às regras da política de segurança. Portanto, o tráfego descartado como resultado da proteção contra DDoS sempre ativada não aparece na telemetria para políticas de segurança ou back-ends.

Em vez disso, as métricas do Cloud Logging e do Cloud Monitoring para eventos de mitigação de DDoS fazem parte da visibilidade de ataques DDoS, um recurso disponível exclusivamente para assinantes do Google Cloud Armor Enterprise. Nas seções a seguir, explicamos como usar o Logging e o Monitoring para analisar ataques DDoS e suas origens. A visibilidade de ataques DDoS está disponível para os seguintes tipos de balanceadores de carga:

  • Balanceador de carga de aplicativo externo global
  • Balanceador de carga de aplicativo clássico

Se você usar a referência de serviço entre projetos, só poderá visualizar a telemetria e os registros associados à visibilidade do ataque DDoS no projeto host ou de serviço que inclui o front-end e o mapa de URL do balanceador de carga. Não é possível visualizar a telemetria e os registros no projeto de serviço que inclui os serviços de back-end.

Registros de eventos de mitigação de ataques do Cloud Logging

O Google Cloud Armor gera três tipos de entradas de registro de eventos ao mitigar ataques DDoS. Os formatos de registro incluem análises de geografia e endereços IP de origem, quando possível. As seguintes seções oferecem exemplos do formato de log de cada tipo de log de eventos:

Mitigação iniciada

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_STARTED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "started": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
      },
      "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
            "pps": "10000",
            "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
            "pps": "5000",
            "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
            "pps": "100000",
            "bps": "20000000"
            }
         }
      ]
      }
   }
   

Mitigação em andamento

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ONGOING",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "ongoing": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
         },
         "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
               "pps": "10000",
               "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
               "pps": "5000",
               "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
               "pps": "100000",
               "bps": "20000000"
            }
         }
      ]
      }
   }
   

Mitigação finalizada

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ENDED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "2314000",
         "bps": "9768000000"
      },
      "ended": {
         "attackDurationSeconds": 345
      }
   }
   

No console do Google Cloud, acesse a página do Explorador de registros e confira o recurso ProtectedEndpoint.

Acessar o Explorador de registros

Como alternativa, é possível conferir o nome do registro network_dos_attack_mitigations.

Métricas do Cloud Monitoring

As métricas da telemetria de mitigação de DDoS são exibidas no recurso Endpoint de rede protegida (ProtectedEndpoint), que é exclusivo para endereços IP virtuais da camada de aplicativo (camada 7) registrados no Google Cloud Armor Enterprise. As métricas disponíveis são as seguintes:

  • Bytes de entrada (/dos/ingress_bytes)
  • Pacotes de entrada (/dos/ingress_packets)

É possível agrupar e filtrar as métricas anteriores com base nos seguintes rótulos:

Identificador Valor
project_id O ID do projeto registrado no Cloud Armor Enterprise.
location O local do endpoint protegido.
vip O endereço IP virtual do endpoint protegido.
drop_status Valores possíveis:
  • processed: o tráfego não foi negado pela proteção contra DDoS sempre ativada do Google Cloud Armor, o que significa que ele foi avaliado em relação às políticas de segurança.
  • blocked: o tráfego foi negado pela proteção contra DDoS sempre ativada do Google Cloud Armor e descartado antes de ser avaliado em relação às políticas de segurança.

No console do Google Cloud, acesse a página Metrics Explorer.

Acessar o Metrics Explorer

Como interpretar métricas de telemetria de endereços IP virtuais com baixo volume de tráfego

Para endereços IP virtuais (VIPs) que recebem menos de 100.000 pacotes por segundo, recomendamos o uso de uma janela de tempo maior para visualizar as métricas no Cloud Monitoring. Por exemplo, quando um VIP de tráfego maior usa um ALIGN_RATE de um minuto, nossa recomendação é utilizar um ALIGN_RATE de 10 minutos. Usar uma janela de tempo maior ajuda a reduzir o volume de artefatos resultantes de uma proporção ruim de sinal para ruído.

Além disso, alguns componentes da taxa em que o Google Cloud Armor descarta o tráfego (a taxa de descarte) são inferidos por meios estatísticos e podem ser menos precisos para VIPs de baixo tráfego. Isso significa que, durante um ataque DDoS, a taxa de descarte dos relatórios do Cloud Monitoring pode ser um pouco menor do que a taxa de descarte real. Isso reduz os artefatos estatísticos que podem levar a uma superestimação do volume de tráfego descartado, especialmente para VIPs que recebem um baixo volume de tráfego e não estão sendo atacados.