Acceder a la telemetría de visibilidad de ataques de DDoS

Google Cloud Armor Enterprise te permite usar Cloud Logging y Cloud Monitoring para analicen los ataques DDoS y sus fuentes.

Google Cloud Armor detecta y mitiga automáticamente la capa de red (capa 3) de transporte público y de transporte (capa 4), realizando la mitigación antes aplicar políticas de seguridad y evaluar únicamente las solicitudes con formato correcto para las reglas de tu política de seguridad. Por lo tanto, la disminución del tráfico como resultado de la protección contra DDoS siempre activa no aparece en la telemetría de las políticas de seguridad ni de los backends.

En cambio, las métricas de Cloud Logging y Cloud Monitoring para los eventos de mitigación de DDoS forman parte de la visibilidad de los ataques DDoS, una función disponible exclusivamente para los suscriptores de Google Cloud Armor Enterprise. En las siguientes secciones, se explica cómo usar Logging Monitoring para analizar los ataques DSD y sus fuentes. La visibilidad de los ataques DDoS está disponible para los siguientes tipos de balanceadores de cargas:

  • Balanceador de cargas de aplicaciones externo global
  • Balanceador de cargas de aplicaciones clásico

Si usas la referencia de servicio entre proyectos, solo puedes ver la telemetría y el registro asociados con la visibilidad del ataque DDoS en el proyecto host o de servicio que incluye el frontend y el mapa de URL de tu balanceador de cargas. No puedes ver la telemetría ni el registro en el proyecto de servicio que incluye los servicios de backend.

Registros de eventos de mitigación de ataques de Cloud Logging

Google Cloud Armor genera tres tipos de entradas de registro de eventos cuando se mitiga ataques DSD. Los formatos de registro incluyen análisis de las direcciones IP de origen y y ubicaciones geográficas cuando sea posible. En las siguientes secciones, se proporcionan ejemplos del formato de registro para cada tipo de registro de eventos:

Se inició la mitigación

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_STARTED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "started": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
      },
      "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
            "pps": "10000",
            "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
            "pps": "5000",
            "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
            "pps": "100000",
            "bps": "20000000"
            }
         }
      ]
      }
   }
   

Mitigación en curso

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ONGOING",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "ongoing": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
         },
         "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
               "pps": "10000",
               "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
               "pps": "5000",
               "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
               "pps": "100000",
               "bps": "20000000"
            }
         }
      ]
      }
   }
   

Finalización de la mitigación

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ENDED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "2314000",
         "bps": "9768000000"
      },
      "ended": {
         "attackDurationSeconds": 345
      }
   }
   

En la consola de Google Cloud, ve a la página Explorador de registros y consulta ProtectedEndpoint recurso.

Ir al Explorador de registros

Como alternativa, puedes ver el nombre del registro network_dos_attack_mitigations.

Métricas de Cloud Monitoring

Las métricas de telemetría de mitigación de DDoS se pueden ver en el recurso Extremo de red protegido (ProtectedEndpoint), que es exclusivo de las direcciones IP virtuales de la capa de aplicación (capa 7) que están inscritas en Google Cloud Armor Enterprise. Las métricas disponibles son las siguientes:

  • Bytes de entrada (/dos/ingress_bytes)
  • Paquetes de entrada (/dos/ingress_packets)

Puedes agrupar y filtrar las métricas anteriores según las siguientes etiquetas:

Etiqueta Valor
project_id El ID de tu proyecto que está inscrito en Cloud Armor Enterprise.
location La ubicación del extremo protegido.
vip La dirección IP virtual del extremo protegido.
drop_status Valores posibles:
  • processed: La protección contra DDoS siempre activa de Google Cloud Armor no rechazó el tráfico, lo que significa que se evaluó en función de tus políticas de seguridad.
  • blocked: Google Cloud Armor rechazó el tráfico protección contra DSD siempre activa y se descarta antes de que se evalúe de tus políticas de seguridad.

En la consola de Google Cloud, ve a la página Explorador de métricas.

Ir al Explorador de métricas

Cómo interpretar las métricas de telemetría de las direcciones IP virtuales con volúmenes de tráfico bajos

En el caso de las direcciones IP virtuales (VIP) que reciben menos de 100,000 paquetes por segundo, te recomendamos que uses un período más largo para ver las métricas en Cloud Monitoring. Por ejemplo, donde una VIP de mayor tráfico podría usar una ALIGN_RATE de un minuto. En cambio, recomendamos una ALIGN_RATE de 10 minutos. El uso de un período más largo ayuda a reducir el volumen de artefactos que resultan de una mala relación señal/ruido.

Además, algunos componentes de la tasa a la que Google Cloud Armor descarta el tráfico (la tasa de descarte) se infieren por medios estadísticos y pueden ser menos precisos para los VIPs de bajo tráfico. Esto significa que, durante un ataque DDoS, la tasa de disminución que informa Cloud Monitoring podría ser ligeramente inferior a la tasa de disminución real. Esto reduce los artefactos estadísticos que pueden llevar a una sobreestimación del volumen de tráfico perdido, en especial para los usuarios VIP que reciben un volumen bajo de tráfico y no están bajo ataque.