Mit Google Cloud Armor Enterprise können Sie mit Cloud Logging und Cloud Monitoring DDoS-Angriffe und ihre Quellen analysieren.
Google Cloud Armor erkennt und entschärft automatisch Angriffe auf der Netzwerkebene (Schicht 3) und der Transportschicht (Schicht 4). Die Entschärfung erfolgt, bevor Sicherheitsrichtlinien erzwungen werden. Nur wohlgeformte Anfragen werden anhand der Regeln Ihrer Sicherheitsrichtlinie ausgewertet. Daher wird Traffic, der aufgrund des permanenten DDoS-Schutzes verworfen wurde, nicht in der Telemetrie für Sicherheitsrichtlinien oder Backends angezeigt.
Stattdessen sind die Cloud Logging- und Cloud Monitoring-Messwerte für DDoS Entschärfungsereignisse Teil der Funktion zur Sichtbarkeit von DDoS-Angriffen, die ausschließlich für Cloud Armor Enterprise Abonnenten verfügbar ist. In den folgenden Abschnitten wird erläutert, wie Sie Logging und Monitoring verwenden, um DDoS-Angriffe und ihre Quellen zu analysieren. Die Sichtbarkeit von DDoS-Angriffen ist für die folgenden Load-Balancer-Typen verfügbar:
- Globaler externer Application Load Balancer
- Klassischer Application Load Balancer
Wenn Sie dienstübergreifende Referenzierung, können Sie die Telemetrie und das Logging im Zusammenhang mit der Sichtbarkeit von DDoS-Angriffen nur im Host- oder Dienstprojekt aufrufen, das das Frontend und die URL-Zuordnung Ihres Load-Balancers enthält. Sie können die Telemetrie und das Logging nicht im Dienstprojekt aufrufen, das die Backend-Dienste enthält.
Für ein ordnungsgemäßes Logging und Reporting benötigt Cloud Armor Zugriff auf die folgenden Logs. Diese müssen in Cloud Logging gespeichert oder an einen Logging-Bucket weitergeleitet werden, auf den Cloud Armor zugreifen kann.
networksecurity.googleapis.com/dos_attacknetworksecurity.googleapis.com/network_dos_attacknetworksecurity.googleapis.com/network_dos_attack_mitigations
Ereignisprotokolle der Cloud Logging-Angriffsabwehr
Cloud Armor generiert drei Arten von Ereignislogeinträgen, um DDoS-Angriffe abzuwenden. Die Logformate enthalten nach Möglichkeit Analysen von Client-IP-Adressen und geografischen Standorten. In den folgenden Abschnitten finden Sie Beispiele für das Logformat für jede Art von Ereignislog:
Aussetzung von Maßnahmen gestartet
{
"id": "20220101_1235_mitigation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Aussetzung von Maßnahmen läuft
{
"id": "20220101_1235_mitigation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Aussetzung von Maßnahmen beendet
{
"id": "20220101_1235_mitigation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
Rufen Sie in der Google Cloud Console die Seite Log-Explorer auf und sehen Sie sich die
ProtectedEndpoint Ressource an.
Alternativ können Sie den Log-Namen network_dos_attack_mitigations aufrufen.
Cloud Monitoring-Messwerte
Die Telemetriemesswerte für die DDoS-Abwehr sind unter der Ressource Geschützter Netzwerkendpunkt (ProtectedEndpoint) sichtbar, die ausschließlich für virtuelle IP-Adressen der Anwendungsebene (Schicht 7) gilt, die in Cloud Armor Enterprise registriert sind. Die verfügbaren Messwerte sind:
- Eingehende Byte (
/dos/ingress_bytes) - Eingehende Pakete (
/dos/ingress_packets)
Sie können die vorherigen Messwerte anhand der folgenden Labels gruppieren und filtern:
| Label | Wert |
|---|---|
project_id |
Die ID Ihres Projekts, das in Cloud Armor Enterprise registriert ist. |
location |
Der Standort Ihres geschützten Endpunkts. |
vip |
Die virtuelle IP-Adresse des geschützten Endpunkts. |
drop_status |
Mögliche Werte:
|
Wechseln Sie in der Google Cloud Console zur Seite Metrics Explorer.
Telemetriemesswerte für virtuelle IP-Adressen mit geringem Traffic-Volumen interpretieren
Für virtuelle IP-Adressen (VIPs), die weniger als 100.000 Pakete pro Sekunde empfangen, empfehlen wir, ein längeres Zeitfenster zu verwenden, um Messwerte in Cloud Monitoring aufzurufen. Wenn beispielsweise für eine VIP mit hohem Traffic-Volumen ein ALIGN_RATE von einer Minute verwendet wird, empfehlen wir stattdessen ein ALIGN_RATE von 10 Minuten.
Ein längeres Zeitfenster trägt dazu bei, die Anzahl der Artefakte zu reduzieren, die auf ein schlechtes Signal-Rausch-Verhältnis zurückzuführen sind.
Außerdem werden einige Komponenten der Rate, mit der Cloud Armor Traffic verwirft (die Verwerfungsrate), statistisch abgeleitet und sind möglicherweise für VIPs mit geringem Traffic-Volumen weniger genau. Das bedeutet, dass die von Cloud Monitoring gemeldete Verwerfungsrate während eines DDoS-Angriffs etwas niedriger sein kann als die tatsächliche Verwerfungsrate. Dadurch werden statistische Artefakte reduziert, die zu einer Überschätzung des verworfenen Traffics führen können, insbesondere für VIPs, die ein geringes Traffic-Volumen empfangen und nicht angegriffen werden.