Accéder à la télémétrie de visibilité des attaques DDoS

Google Cloud Armor Enterprise vous permet d'utiliser Cloud Logging et Cloud Monitoring pour analyser les attaques DDoS et leurs sources.

Google Cloud Armor détecte et atténue automatiquement la couche réseau (couche 3) et de la couche de transport (couche 4), l'atténuation des risques en appliquant des règles de sécurité et en n'évaluant que les demandes formulées correctement vos règles de stratégie de sécurité. Par conséquent, le trafic a baissé suite à l'activation du mode Always-on. La protection contre les attaques DDoS n'apparaît pas dans la télémétrie des règles de sécurité ou des backends.

Au lieu de cela, les métriques Cloud Logging et Cloud Monitoring pour les événements d'atténuation des attaques DDoS font partie de la visibilité des attaques DDoS, une fonctionnalité disponible exclusivement pour les abonnés à Google Cloud Armor Enterprise. Les sections suivantes expliquent comment utiliser Logging et Monitoring pour analyser les attaques DDoS et leurs sources Attaque DDoS la visibilité est disponible pour les types d'équilibreurs de charge suivants:

  • Équilibreur de charge d'application externe mondial
  • Équilibreur de charge d'application classique

Si vous utilisez le référencement de services interprojets, vous ne pouvez afficher que la télémétrie et la journalisation associées à la visibilité des attaques DDoS dans le projet hôte ou de service qui inclut l'interface et le mappage d'URL de votre équilibreur de charge. Vous ne pouvez pas afficher les données de télémétrie et de journalisation qui inclut les services de backend.

Journaux Cloud Logging des événements de protection contre les attaques

Google Cloud Armor génère trois types d'entrées de journal des événements lors de la réduction les attaques DDoS. Les formats de journal incluent des analyses des adresses IP sources et lorsque cela est possible. Les sections suivantes fournissent des exemples pour chaque type de journal des événements:

Atténuation démarrée

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_STARTED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "started": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
      },
      "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
            "pps": "10000",
            "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
            "pps": "5000",
            "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
            "pps": "100000",
            "bps": "20000000"
            }
         }
      ]
      }
   }
   

Atténuation en cours

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ONGOING",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "ongoing": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
         },
         "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
               "pps": "10000",
               "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
               "pps": "5000",
               "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
               "pps": "100000",
               "bps": "20000000"
            }
         }
      ]
      }
   }
   

Fin de l'atténuation

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ENDED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "2314000",
         "bps": "9768000000"
      },
      "ended": {
         "attackDurationSeconds": 345
      }
   }
   

Dans la console Google Cloud, accédez à la page Explorateur de journaux et affichez la ressource ProtectedEndpoint.

Accéder à l'explorateur de journaux

Vous pouvez également afficher le nom de journal network_dos_attack_mitigations.

Métriques Cloud Monitoring

Les métriques de télémétrie contre les attaques DDoS sont visibles sous la ressource Point de terminaison du réseau protégé (ProtectedEndpoint), qui est exclusif aux des adresses IP virtuelles de la couche application (couche 7) enregistrées dans Google Cloud Armor Enterprise. Les métriques disponibles sont les suivantes :

  • Octets d'entrée (/dos/ingress_bytes)
  • Paquets Ingress (/dos/ingress_packets)

Vous pouvez regrouper et filtrer les métriques précédentes en fonction des étiquettes suivantes:

Libellé Valeur
project_id ID de votre projet enregistré dans Cloud Armor Enterprise.
location Emplacement de votre point de terminaison protégé.
vip Adresse IP virtuelle du point de terminaison protégé.
drop_status Valeurs possibles:
  • processed: le trafic n'a pas été refusé par La protection DDoS de Google Cloud Armor est toujours activée, ce qui signifie que il a été évalué par rapport à vos stratégies de sécurité.
  • blocked: le trafic a été refusé par Google Cloud Armor protection DDoS permanente et abandonnée avant évaluation de vos règles de sécurité.

Dans la console Google Cloud, accédez à la page "Explorateur de métriques".

Accéder à l'explorateur de métriques

Interpréter les métriques de télémétrie pour les adresses IP virtuelles avec des volumes de trafic faibles

Pour les adresses IP virtuelles qui reçoivent moins de 100 000 paquets par Deuxièmement, nous vous recommandons d'utiliser une période plus longue pour afficher les métriques Cloud Monitoring. Par exemple, lorsqu'une adresse IP virtuelle à trafic élevé peut utiliser une adresse IP virtuelle ALIGN_RATE d'une minute, nous vous recommandons plutôt de définir une ALIGN_RATE de 10 minutes. L'utilisation d'une période plus longue permet de réduire le volume d'artefacts résultant d'un mauvais rapport signal/bruit.

De plus, certains composants du taux auquel Google Cloud Armor réduit le trafic (taux de réduction) sont inférés par des moyens statistiques et peuvent être moins précis pour les VIP à faible trafic. Cela signifie que lors d'une attaque DDoS, le taux de perte indiqué par Cloud Monitoring peut être légèrement inférieur au taux de perte réel. Cela réduit les artefacts statistiques qui peuvent entraîner une surestimation du volume de trafic supprimé, en particulier pour les adresses IP virtuelles dont le volume est faible. du trafic et ne sont pas attaqués.