Mit Google Cloud Armor Enterprise können Sie Cloud Logging und Cloud Monitoring verwenden, um DDoS-Angriffe und ihre Quellen zu analysieren.
Google Cloud Armor erkennt und mindert automatisch Angriffe auf der Netzwerkebene (Ebene 3) und der Transportebene (Ebene 4). Die Minderung erfolgt, bevor Sicherheitsrichtlinien erzwungen werden. Nur wohlgeformte Anfragen werden anhand Ihrer Sicherheitsrichtlinienregeln ausgewertet. Traffic, der aufgrund des Always-on-DDoS-Schutzes zurückgegangen ist, wird daher nicht in der Telemetrie für Sicherheitsrichtlinien oder Back-Ends angezeigt.
Stattdessen sind die Cloud Logging- und Cloud Monitoring-Messwerte für DDoS-Abwehrereignisse Teil der Sichtbarkeit von DDoS-Angriffen, einem Feature, das ausschließlich für Abonnenten von Google Cloud Armor Enterprise verfügbar ist. In den folgenden Abschnitten wird erläutert, wie Sie Logging und Monitoring verwenden, um DDoS-Angriffe und ihre Quellen zu analysieren. Die Sichtbarkeit von DDoS-Angriffen ist für die folgenden Load-Balancer-Typen verfügbar:
- Globaler externer Application Load Balancer
- Klassischer Application Load Balancer
Wenn Sie dienstübergreifende Projektverweise verwenden, können Sie die Telemetrie und Protokollierung, die mit der Sichtbarkeit von DDoS-Angriffen zusammenhängen, nur im Host- oder Dienstprojekt ansehen, das das Frontend und die URL-Zuordnung Ihres Load-Balancers enthält. Sie können die Telemetrie und das Logging nicht im Dienstprojekt mit den Backend-Diensten aufrufen.
Damit eine ordnungsgemäße Protokollierung und Berichterstellung möglich ist, benötigt Cloud Armor Zugriff auf die folgenden Logs. Diese müssen in Cloud Logging gespeichert oder an einen Logging-Bucket weitergeleitet werden, auf den Cloud Armor zugreifen kann.
networksecurity.googleapis.com/dos_attacknetworksecurity.googleapis.com/network_dos_attacknetworksecurity.googleapis.com/network_dos_attack_mitigations
Ereignisprotokolle der Cloud Logging-Angriffsabwehr
Cloud Armor generiert drei Arten von Ereignislogeinträgen, um DDoS-Angriffe abzuwenden. Die Logformate enthalten Analysen von Quell-IP-Adressen und ‑Regionen, sofern möglich. Die folgenden Abschnitte enthalten Beispiele für das Logformat für jeden Typ von Ereignisprotokoll:
Abwehr gestartet
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Abwehr läuft
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Abwehr beendet
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
Rufen Sie in der Google Cloud Console die Seite „Log-Explorer“ auf und rufen Sie die Ressource ProtectedEndpoint auf.
Alternativ können Sie den Log-Namen network_dos_attack_mitigations aufrufen.
Cloud Monitoring-Messwerte
Telemetriemesswerte zur DDoS-Abwehr sind unter der Ressource Protected Network Endpoint (ProtectedEndpoint) sichtbar, die ausschließlich für virtuelle IP-Adressen der Anwendungsschicht (Schicht 7) gilt, die für Google Cloud Armor Enterprise registriert sind. Folgende Messwerte sind verfügbar:
- Eingehende Byte (
/dos/ingress_bytes) - Pakete für eingehenden Traffic (
/dos/ingress_packets)
Sie können die oben genannten Messwerte nach den folgenden Labels gruppieren und filtern:
| Label | Wert |
|---|---|
project_id |
Die ID Ihres Projekts, das für Cloud Armor Enterprise registriert ist. |
location |
Der Speicherort Ihres geschützten Endpunkts. |
vip |
Die virtuelle IP-Adresse des geschützten Endpunkts. |
drop_status |
Mögliche Werte:
|
Rufen Sie in der Google Cloud Console die Seite „Metrics Explorer“ auf.
Telemetriemesswerte für virtuelle IP-Adressen mit geringem Trafficvolumen interpretieren
Für virtuelle IP-Adressen (VIPs), die weniger als 100.000 Pakete pro Sekunde empfangen, empfehlen wir, ein längeres Zeitfenster zu verwenden, um Messwerte in Cloud Monitoring anzusehen. Wenn beispielsweise für einen VIP mit hohem Traffic ein ALIGN_RATE von einer Minute verwendet wird, empfehlen wir stattdessen ein ALIGN_RATE von 10 Minuten.
Ein längeres Zeitfenster kann dazu beitragen, die Anzahl der Artefakte zu verringern, die durch ein schlechtes Signal-Rausch-Verhältnis entstehen.
Außerdem werden einige Komponenten der Rate, mit der Cloud Armor Traffic verwirft (die Drop-Rate), statistisch abgeleitet und sind für VIPs mit wenig Traffic möglicherweise weniger genau. Das bedeutet, dass die von Cloud Monitoring gemeldete Drop-Rate während eines DDoS-Angriffs möglicherweise etwas niedriger ist als die tatsächliche Drop-Rate. So werden statistische Artefakte reduziert, die zu einer Überschätzung des Volumens des verworfenen Traffics führen können, insbesondere bei VIPs, die nur wenig Traffic erhalten und nicht angegriffen werden.