Mit Google Cloud Armor Enterprise können Sie DDoS-Angriffe und ihre Quellen mit Cloud Logging und Cloud Monitoring analysieren.
Google Cloud Armor erkennt und behebt automatisch Angriffe auf Netzwerkebene (Ebene 3) und Transportebene (Ebene 4). Die Behebung erfolgt, bevor Sicherheitsrichtlinien erzwungen werden, und es werden nur wohlgeformte Anfragen anhand Ihrer Sicherheitsrichtlinien bewertet. Daher wird der durch den aktiven DDoS-Schutz verursachte Traffic-Rückgang nicht in der Telemetrie für Sicherheitsrichtlinien oder Backends angezeigt.
Stattdessen sind die Cloud Logging- und Cloud Monitoring-Messwerte für DDoS-Mitigationsereignisse Teil der Sichtbarkeit von DDoS-Angriffen, einer Funktion, die ausschließlich für Abonnenten von Google Cloud Armor Enterprise verfügbar ist. In den folgenden Abschnitten wird erläutert, wie Sie Logging und Monitoring verwenden können, um DDoS-Angriffe und ihre Quellen zu analysieren. Die Sichtbarkeit von DDoS-Angriffen ist für die folgenden Load Balancer-Typen verfügbar:
- Globaler externer Application Load Balancer
- Klassischer Application Load Balancer
Wenn Sie projektübergreifende Dienstverweise verwenden, können Sie die mit der Sichtbarkeit von DDoS-Angriffen verknüpfte Telemetrie und Protokollierung nur im Host- oder Dienstprojekt aufrufen, das das Frontend und die URL-Zuordnung Ihres Load Balancers enthält. Sie können die Telemetrie und Logging-Daten nicht im Dienstprojekt mit den Backend-Diensten aufrufen.
Ereignisprotokolle der Cloud Logging-Angriffsabwehr
Google Cloud Armor generiert drei Arten von Ereignisprotokolleinträgen, um DDoS-Angriffe abzuwehren. Die Protokollformate enthalten nach Möglichkeit Analysen von Quell-IP-Adressen und -regionen. Die folgenden Abschnitte enthalten Beispiele für das Logformat für jeden Typ von Ereignisprotokoll:
Abwehr gestartet
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Abwehr wird ausgeführt
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
Abwehr beendet
{
"id": "20220101_1235_mitigiation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
Rufen Sie in der Google Cloud Console die Seite „Log-Explorer“ auf und sehen Sie sich die Ressource ProtectedEndpoint an.
Alternativ können Sie sich den network_dos_attack_mitigations-Lognamen ansehen.
Cloud Monitoring-Messwerte
Telemetriemesswerte zur DDoS-Bewältigung sind unter der Ressource Protected Network Endpoint (ProtectedEndpoint) zu sehen. Diese Ressource ist ausschließlich für virtuelle IP-Adressen der Anwendungsschicht (Layer 7) verfügbar, die bei Google Cloud Armor Enterprise registriert sind. Folgende Messwerte sind verfügbar:
- Eingehende Byte (
/dos/ingress_bytes) - Pakete für ausgehenden Traffic (
/dos/ingress_packets)
Sie können die oben genannten Messwerte nach den folgenden Labels gruppieren und filtern:
| Label | Wert |
|---|---|
project_id |
Die ID Ihres Projekts, das für Cloud Armor Enterprise registriert ist. |
location |
Der Speicherort Ihres geschützten Endpunkts. |
vip |
Die virtuelle IP-Adresse des geschützten Endpunkts. |
drop_status |
Mögliche Werte:
|
Rufen Sie in der Google Cloud Console die Seite „Metrics Explorer“ auf.
Telemetriemesswerte für virtuelle IP-Adressen mit geringem Trafficvolumen auswerten
Für virtuelle IP-Adressen (VIPs), die weniger als 100.000 Pakete pro Sekunde empfangen, empfehlen wir ein längeres Zeitfenster, um Messwerte in Cloud Monitoring aufzurufen. Wenn ein VIP mit höherem Traffic beispielsweise eine ALIGN_RATE von einer Minute verwendet, empfehlen wir stattdessen eine ALIGN_RATE von 10 Minuten.
Mit einem längeren Zeitfenster lässt sich die Anzahl der Artefakte reduzieren, die durch ein schlechtes Signal-Rausch-Verhältnis entstehen.
Außerdem werden einige Komponenten der Rate, mit der Google Cloud Armor den Traffic ablegt (die Aussperrungsrate), anhand statistischer Mittel ermittelt und sind bei VIPs mit geringem Traffic möglicherweise weniger genau. Das bedeutet, dass während eines DDoS-Angriffs die in Cloud Monitoring gemeldete Ausfallrate möglicherweise etwas niedriger ist als die tatsächliche Ausfallrate. So werden statistische Artefakte reduziert, die zu einer Überschätzung der Anzahl der abgelehnten Zugriffe führen können, insbesondere bei VIPs, die nur wenige Zugriffe erhalten und nicht angegriffen werden.