Mit Google Cloud Armor Enterprise können Sie mit Cloud Logging und Cloud Monitoring DDoS-Angriffe und ihre Quellen analysieren.
Google Cloud Armor erkennt und mindert Angriffe der Netzwerkschicht (Layer 3) und der Transportschicht (Layer 4) automatisch und mindert diese, bevor sie Sicherheitsrichtlinien durchsetzt, und bewertet nur richtig formulierte Anfragen anhand Ihrer Sicherheitsrichtlinienregeln. Daher wird Traffic, der aufgrund eines immer aktiven DDoS-Schutzes verworfen wurde, nicht in der Telemetrie für Sicherheitsrichtlinien oder Back-Ends angezeigt.
Stattdessen sind die Cloud Logging- und Cloud Monitoring-Messwerte für DDoS-Abwehrereignisse Teil der Sichtbarkeit von DDoS-Angriffen, einem Feature, das exklusiv für Abonnenten von Google Cloud Armor Enterprise verfügbar ist. In den folgenden Abschnitten wird erläutert, wie Sie mit Logging und Monitoring DDoS-Angriffe und ihre Quellen analysieren. Die Sichtbarkeit von DDoS-Angriffen ist für die folgenden Load-Balancer-Typen verfügbar:
- Globaler externer Application Load Balancer
- Klassischer Application Load Balancer
Wenn Sie projektübergreifende Dienstverweise verwenden, können Sie nur die Telemetrie und das Logging sehen, die mit der Sichtbarkeit von DDoS-Angriffen im Host- oder Dienstprojekt verknüpft sind. Das Host- oder Dienstprojekt enthält das Frontend und die URL-Zuordnung Ihres Load-Balancers. Sie können die Telemetrie und das Logging nicht unter dem Dienstprojekt aufrufen, das die Back-End-Dienste enthält.
Ereignisprotokolle der Cloud Logging-Angriffsabwehr
Google Cloud Armor generiert zur Abwehr von DDoS-Angriffen drei Arten von Ereignislogeinträgen. Die Logformate umfassen nach Möglichkeit Analysen von Quell-IP-Adressen und -Regionen. In den folgenden Abschnitten finden Sie Beispiele für das Logformat für die einzelnen Arten von Ereignisprotokollen:
Abwehr gestartet
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Abwehr wird ausgeführt
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Risikominderung beendet
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
Rufen Sie in der Google Cloud Console die Seite „Log-Explorer“ auf und sehen Sie sich die Ressource ProtectedEndpoint an.
Alternativ können Sie den Lognamen network_dos_attack_mitigations aufrufen.
Cloud Monitoring-Messwerte
Telemetriemesswerte zur DDoS-Abwehr sind unter der Ressource Geschützter Netzwerkendpunkt (ProtectedEndpoint) sichtbar, die nur für virtuelle IP-Adressen auf Anwendungsebene (Layer 7) verfügbar ist, die in Google Cloud Armor Enterprise registriert sind. Folgende Messwerte sind verfügbar:
- Eingehende Byte (
/dos/ingress_bytes) - Eingehende Pakete (
/dos/ingress_packets)
Sie können die obigen Messwerte anhand der folgenden Labels gruppieren und filtern:
| Label | Wert |
|---|---|
project_id |
Die ID Ihres Projekts, das bei Cloud Armor Enterprise registriert ist. |
location |
Der Speicherort Ihres geschützten Endpunkts. |
vip |
Die virtuelle IP-Adresse des geschützten Endpunkts. |
drop_status |
Mögliche Werte:
|
Rufen Sie in der Google Cloud Console die Seite „Metrics Explorer“ auf.
Telemetriemesswerte für virtuelle IP-Adressen mit geringem Trafficvolumen interpretieren
Bei virtuellen IP-Adressen (VIPs), die weniger als 100.000 Pakete pro Sekunde erhalten, sollten Sie ein längeres Zeitfenster für die Anzeige von Messwerten in Cloud Monitoring verwenden. Wenn beispielsweise eine VIP mit höherem Traffic einen ALIGN_RATE von einer Minute verwendet, empfehlen wir stattdessen einen ALIGN_RATE von 10 Minuten.
Die Verwendung eines längeren Zeitfensters hilft, die Menge von Artefakten zu reduzieren, die sich aus einem schlechten Signal-Rausch-Verhältnis ergeben.
Darüber hinaus werden einige Komponenten der Rate, mit der Google Cloud Armor Traffic abnimmt (die Abbruchrate), statistisch abgeleitet und sind für VIPs mit geringem Traffic möglicherweise weniger genau. Das bedeutet, dass die von Cloud Monitoring gemeldete Abbruchrate während eines DDoS-Angriffs möglicherweise etwas niedriger als die tatsächliche Abbruchrate sein kann. Dadurch werden statistische Artefakte reduziert, die zu einer Überschätzung des Volumens des abgebrochenen Traffics führen können, insbesondere bei VIPs, die ein geringes Trafficvolumen erhalten und nicht angegriffen werden.