Mit Google Cloud Armor Enterprise können Sie Cloud Logging und Cloud Monitoring nutzen, um analysieren DDoS-Angriffe und ihre Quellen.
Google Cloud Armor erkennt und behebt automatisch Angriffe auf Netzwerkebene (Ebene 3) und Transportebene (Ebene 4). Die Behebung erfolgt, bevor Sicherheitsrichtlinien erzwungen werden, und es werden nur wohlgeformte Anfragen anhand Ihrer Sicherheitsrichtlinien bewertet. Daher wird der durch den aktiven DDoS-Schutz verursachte Traffic-Rückgang nicht in der Telemetrie für Sicherheitsrichtlinien oder Backends angezeigt.
Stattdessen sind die Cloud Logging- und Cloud Monitoring-Messwerte für DDoS-Mitigationsereignisse Teil der Sichtbarkeit von DDoS-Angriffen, einer Funktion, die ausschließlich für Abonnenten von Google Cloud Armor Enterprise verfügbar ist. In den folgenden Abschnitten wird erläutert, wie Sie Logging und Monitoring zur Analyse von DDoS-Angriffen und deren Quellen Die Sichtbarkeit von DDoS-Angriffen ist für die folgenden Load Balancer-Typen verfügbar:
- Globaler externer Application Load Balancer
- Klassischer Application Load Balancer
Wenn Sie projektübergreifende Dienstverweise verwenden, können Sie die mit der Sichtbarkeit von DDoS-Angriffen verknüpfte Telemetrie und Protokollierung nur im Host- oder Dienstprojekt aufrufen, das das Frontend und die URL-Zuordnung Ihres Load Balancers enthält. Die Telemetrie und Logging-Daten werden nicht unter der Dienstprojekt, das die Back-End-Dienste enthält.
Ereignisprotokolle der Cloud Logging-Angriffsabwehr
Google Cloud Armor generiert drei Arten von Ereignisprotokolleinträgen, um DDoS-Angriffe abzuwehren. Die Protokollformate enthalten nach Möglichkeit Analysen von Quell-IP-Adressen und -regionen. In den folgenden Abschnitten finden Sie Beispiele für das Protokoll. Format für die einzelnen Ereignisprotokolltypen verwenden:
Abwehr gestartet
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Abwehr wird ausgeführt
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Abwehr beendet
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
Rufen Sie in der Google Cloud Console die Seite „Log-Explorer“ auf und sehen Sie sich die Ressource ProtectedEndpoint an.
Alternativ können Sie sich den network_dos_attack_mitigations-Protokollnamen ansehen.
Cloud Monitoring-Messwerte
Telemetriemesswerte zur DDoS-Abwehr sind unter der Ressource sichtbar
Protected Network Endpoint (ProtectedEndpoint), der exklusiv für
Virtuelle IP-Adressen auf Anwendungsebene (Ebene 7), die registriert sind
Google Cloud Armor Enterprise Folgende Messwerte sind verfügbar:
- Eingehende Byte (
/dos/ingress_bytes) - Pakete für ausgehenden Traffic (
/dos/ingress_packets)
Sie können die oben genannten Messwerte nach den folgenden Labels gruppieren und filtern:
| Label | Wert |
|---|---|
project_id |
Die ID Ihres Projekts, das für Cloud Armor Enterprise registriert ist. |
location |
Der Speicherort Ihres geschützten Endpunkts. |
vip |
Die virtuelle IP-Adresse des geschützten Endpunkts. |
drop_status |
Mögliche Werte:
|
Rufen Sie in der Google Cloud Console die Seite „Metrics Explorer“ auf.
Telemetriemesswerte für virtuelle IP-Adressen mit geringem Traffic-Volumen interpretieren
Für virtuelle IP-Adressen (VIPs), die weniger als 100.000 Pakete pro
Zweitens sollten Sie für die Betrachtung der Messwerte
Cloud Monitoring Wenn ein VIP mit höherem Traffic beispielsweise eine ALIGN_RATE von einer Minute verwendet, empfehlen wir stattdessen eine ALIGN_RATE von 10 Minuten.
Mit einem längeren Zeitfenster lässt sich die Anzahl der Artefakte reduzieren, die durch ein schlechtes Signal-Rausch-Verhältnis entstehen.
Außerdem werden einige Komponenten der Rate, mit der Google Cloud Armor Zugriffe (die Abbruchrate) statistisch abgeleitet werden und unter Umständen niedriger sind, genau für VIPs mit geringem Traffic. Das bedeutet, dass während eines DDoS-Angriffs dass Cloud Monitoring-Berichte etwas niedriger ausfallen können Abbruchrate. Dadurch werden statistische Artefakte reduziert, die zu einer Überschätzung führen können. des Traffic-Ausstiegs aus, insbesondere bei VIPs mit geringem Volumen und werden nicht angegriffen.