Akses telemetri visibilitas serangan DDoS

Dengan Google Cloud Armor Enterprise, Anda dapat menggunakan Cloud Logging dan Cloud Monitoring untuk menganalisis serangan DDoS dan sumbernya.

Google Cloud Armor secara otomatis mendeteksi dan memitigasi serangan lapisan jaringan (Lapisan 3) dan lapisan transportasi (Lapisan 4), melakukan mitigasi sebelum menerapkan kebijakan keamanan dan hanya mengevaluasi permintaan yang dibentuk dengan baik terhadap aturan kebijakan keamanan Anda. Oleh karena itu, traffic menurun akibat perlindungan DDoS yang selalu aktif tidak muncul dalam telemetri untuk backend atau kebijakan keamanan.

Sebagai gantinya, metrik Cloud Logging dan Cloud Monitoring untuk peristiwa mitigasi DDoS adalah bagian dari visibilitas serangan DDoS, sebuah fitur yang tersedia secara eksklusif untuk pelanggan Google Cloud Armor Enterprise. Bagian berikut menjelaskan cara menggunakan Logging dan Monitoring untuk menganalisis serangan DDoS dan sumbernya. visibilitas serangan DDoS tersedia untuk jenis load balancer berikut:

  • Load Balancer Aplikasi eksternal global
  • Load Balancer Aplikasi Klasik

Jika menggunakan referensi layanan lintas project, Anda hanya dapat melihat telemetri dan logging yang terkait dengan visibilitas serangan DDoS pada project layanan atau host yang menyertakan frontend dan peta URL load balancer. Anda tidak dapat melihat telemetri dan logging di bagian project layanan yang menyertakan layanan backend.

Log peristiwa mitigasi serangan Cloud Logging

Google Cloud Armor menghasilkan tiga jenis entri log peristiwa saat memitigasi serangan DDoS. Format log mencakup analisis alamat IP sumber dan geografis jika memungkinkan. Bagian berikut memberikan contoh format log untuk setiap jenis log peristiwa:

Mitigasi dimulai

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_STARTED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "started": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
      },
      "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
            "pps": "10000",
            "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
            "pps": "5000",
            "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
            "pps": "100000",
            "bps": "20000000"
            }
         }
      ]
      }
   }
   

Mitigasi sedang berlangsung

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ONGOING",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "ongoing": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
         },
         "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
               "pps": "10000",
               "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
               "pps": "5000",
               "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
               "pps": "100000",
               "bps": "20000000"
            }
         }
      ]
      }
   }
   

Mitigasi berakhir

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ENDED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "2314000",
         "bps": "9768000000"
      },
      "ended": {
         "attackDurationSeconds": 345
      }
   }
   

Di konsol Google Cloud, buka halaman Logs Explorer, lalu lihat resource ProtectedEndpoint.

Buka Logs Explorer

Atau, Anda dapat melihat nama log network_dos_attack_mitigations.

Metrik Cloud Monitoring

Metrik telemetri mitigasi DDoS dapat dilihat di resource Protected Network Endpoint (ProtectedEndpoint), yang eksklusif untuk alamat IP virtual lapisan aplikasi (Layer 7) yang terdaftar di Google Cloud Armor Enterprise. Metrik yang tersedia adalah sebagai berikut:

  • Byte masuk (/dos/ingress_bytes)
  • Paket masuk (/dos/ingress_packets)

Anda dapat mengelompokkan dan memfilter metrik sebelumnya berdasarkan label berikut:

Label Nilai
project_id ID project Anda yang terdaftar di Cloud Armor Enterprise.
location Lokasi endpoint yang dilindungi.
vip Alamat IP virtual endpoint yang dilindungi.
drop_status Nilai yang memungkinkan:
  • processed: Traffic tidak ditolak oleh perlindungan DDoS yang selalu aktif di Google Cloud Armor, yang berarti traffic tersebut dievaluasi berdasarkan kebijakan keamanan Anda.
  • blocked: Traffic ditolak oleh perlindungan DDoS yang selalu aktif oleh Google Cloud Armor dan berkurang sebelum dievaluasi berdasarkan kebijakan keamanan Anda.

Di konsol Google Cloud, buka halaman Metrics Explorer.

Buka Metrics Explorer

Menafsirkan metrik telemetri untuk alamat IP virtual dengan volume traffic rendah

Untuk alamat IP virtual (VIP) yang menerima kurang dari 100.000 paket per detik, sebaiknya gunakan jangka waktu yang lebih lama untuk melihat metrik di Cloud Monitoring. Misalnya, jika VIP dengan traffic yang lebih tinggi mungkin menggunakan ALIGN_RATE selama satu menit, kami merekomendasikan ALIGN_RATE berdurasi 10 menit. Menggunakan jangka waktu yang lebih lama akan membantu mengurangi volume artefak yang dihasilkan dari rasio sinyal terhadap derau yang buruk.

Selain itu, beberapa komponen rasio penurunan traffic (rasio penurunan) Google Cloud Armor disimpulkan secara statistik, dan mungkin kurang akurat untuk VIP dengan traffic rendah. Artinya, selama serangan DDoS, penurunan rasio penurunan yang dilaporkan Cloud Monitoring mungkin sedikit lebih rendah dari rasio penurunan yang sebenarnya. Hal ini mengurangi artefak statistik yang dapat menyebabkan perkiraan berlebihan terhadap volume traffic yang menurun, terutama untuk VIP yang menerima volume traffic rendah dan tidak terkena serangan.