Akses telemetri visibilitas serangan DDoS

Google Cloud Armor Enterprise memungkinkan Anda menggunakan Cloud Logging dan Cloud Monitoring untuk menganalisis serangan DDoS dan sumbernya.

Google Cloud Armor secara otomatis mendeteksi dan memitigasi serangan lapisan jaringan (Lapisan 3) dan lapisan transpor (Lapisan 4), melakukan mitigasi sebelum menerapkan kebijakan keamanan, dan hanya mengevaluasi permintaan yang dibentuk dengan baik terhadap aturan kebijakan keamanan Anda. Oleh karena itu, traffic yang menurun akibat perlindungan DDoS yang selalu aktif tidak akan muncul dalam telemetri untuk kebijakan keamanan atau backend.

Sebagai gantinya, metrik Cloud Logging dan Cloud Monitoring untuk peristiwa mitigasi DDoS adalah bagian dari visibilitas serangan DDoS, fitur yang tersedia secara eksklusif untuk pelanggan Google Cloud Armor Enterprise. Bagian berikut menjelaskan cara menggunakan Logging dan Monitoring untuk menganalisis serangan DDoS dan sumbernya. Visibilitas serangan DDoS tersedia untuk jenis load balancer berikut:

  • Load Balancer Aplikasi eksternal global
  • Load Balancer Aplikasi Klasik

Jika menggunakan referensi layanan lintas project, Anda hanya dapat melihat telemetri dan logging yang terkait dengan visibilitas serangan DDoS di project host atau layanan yang menyertakan frontend dan peta URL load balancer. Anda tidak dapat melihat telemetri dan logging di bagian project layanan yang menyertakan layanan backend.

Log peristiwa mitigasi serangan Cloud Logging

Google Cloud Armor membuat tiga jenis entri log peristiwa saat memitigasi serangan DDoS. Format log mencakup analisis alamat IP sumber dan geografis jika memungkinkan. Bagian berikut memberikan contoh format log untuk setiap jenis log peristiwa:

Mitigasi dimulai

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_STARTED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "started": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
      },
      "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
            "pps": "10000",
            "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
            "pps": "5000",
            "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
            "pps": "100000",
            "bps": "20000000"
            }
         }
      ]
      }
   }

Mitigasi sedang berlangsung

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ONGOING",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "ongoing": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
         },
         "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
               "pps": "10000",
               "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
               "pps": "5000",
               "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
               "pps": "100000",
               "bps": "20000000"
            }
         }
      ]
      }
   }

Mitigasi berakhir

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ENDED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "2314000",
         "bps": "9768000000"
      },
      "ended": {
         "attackDurationSeconds": 345
      }
   }

Di konsol Google Cloud, buka halaman Logs Explorer dan lihat resource ProtectedEndpoint.

Buka Logs Explorer

Atau, Anda dapat melihat nama log network_dos_attack_mitigations.

Metrik Cloud Monitoring

Metrik telemetri mitigasi DDoS dapat dilihat di bagian resource Protected Network Endpoint (ProtectedEndpoint), yang eksklusif untuk alamat IP virtual lapisan aplikasi (Lapisan 7) yang terdaftar di Google Cloud Armor Enterprise. Metrik yang tersedia adalah sebagai berikut:

  • Byte masuk (/dos/ingress_bytes)
  • Paket masuk (/dos/ingress_packets)

Anda dapat mengelompokkan dan memfilter metrik sebelumnya berdasarkan label berikut:

Label Nilai
project_id ID project Anda yang terdaftar di Cloud Armor Enterprise.
location Lokasi endpoint Anda yang dilindungi.
vip Alamat IP virtual endpoint yang dilindungi.
drop_status Nilai yang mungkin:
  • processed: Traffic tidak ditolak oleh perlindungan DDoS Google Cloud Armor yang selalu aktif, yang berarti bahwa traffic tersebut dievaluasi berdasarkan kebijakan keamanan Anda.
  • blocked: Traffic ditolak oleh perlindungan DDoS Google Cloud Armor yang selalu aktif dan dihapus sebelum dievaluasi berdasarkan kebijakan keamanan Anda.

Di konsol Google Cloud, buka halaman Metrics Explorer.

Buka Metrics Explorer

Menafsirkan metrik telemetri untuk alamat IP virtual dengan volume traffic rendah

Untuk alamat IP virtual (VIP) yang menerima kurang dari 100.000 paket per detik, sebaiknya gunakan periode waktu yang lebih lama untuk melihat metrik di Cloud Monitoring. Misalnya, jika VIP dengan traffic lebih tinggi mungkin menggunakan ALIGN_RATE satu menit, sebaiknya gunakan ALIGN_RATE 10 menit. Menggunakan periode waktu yang lebih lama akan membantu mengurangi volume artefak yang dihasilkan dari rasio sinyal terhadap derau yang buruk.

Selain itu, beberapa komponen dari rasio penurunan traffic Google Cloud Armor (rasio penurunan) disimpulkan dengan cara statistik, dan mungkin kurang akurat untuk VIP dengan traffic rendah. Artinya, selama serangan DDoS, rasio penurunan yang dilaporkan Cloud Monitoring mungkin sedikit lebih rendah daripada rasio penurunan yang sebenarnya. Hal ini mengurangi artefak statistik yang dapat menyebabkan volume traffic yang hilang diperkirakan terlalu tinggi, terutama untuk VIP yang menerima volume traffic yang rendah dan tidak diserang.