גישה לטלמטריה של התקפות DDoS

‫Google Cloud Armor Enterprise מאפשר לכם להשתמש ב-Cloud Logging וב-Cloud Monitoring כדי לנתח מתקפות DDoS ואת המקורות שלהן.

‫Google Cloud Armor מזהה באופן אוטומטי מתקפות בשכבת הרשת (שכבה 3) ובשכבת התעבורה (שכבה 4) ומצמצם את ההשפעה שלהן. הוא מבצע את הפעולות האלה לפני שהוא אוכף את מדיניות האבטחה ומעריך רק בקשות תקינות בהתאם לכללי מדיניות האבטחה. לכן, תנועת גולשים שירדה כתוצאה מהגנה מפני DDoS שפועלת ללא הפסקה לא מופיעה בטלמטריה של מדיניות האבטחה או של השרתים העורפיים.

במקום זאת, המדדים של Cloud Logging ו-Cloud Monitoring לאירועי צמצום של מתקפות DDoS הם חלק מהתכונה 'חשיפה למתקפות DDoS', שזמינה רק למנויים של Google Cloud Armor Enterprise. בחלקים הבאים מוסבר איך להשתמש ב-Logging וב-Monitoring כדי לנתח מתקפות DDoS ואת המקורות שלהן. התכונה 'חשיפה למתקפות DDoS' זמינה לסוגים הבאים של איזון עומסים:

  • מאזן עומסים גלובלי חיצוני של אפליקציות (ALB)
  • מאזן עומסים קלאסי של אפליקציות (ALB)

אם אתם משתמשים בהפניה לשירותים בפרויקטים שונים, תוכלו לראות את נתוני הטלמטריה והרישום שקשורים לזיהוי התקפות DDoS רק בפרויקט המארח או בפרויקט השירות שכולל את חזית האפליקציה ואת מפת כתובות ה-URL של מאזן העומסים. אי אפשר לראות את הטלמטריה והרישום בפרויקט השירות שכולל את שירותי ה-Backend.

כדי להבטיח רישום נכון ביומן ודיווח תקין, ל-Cloud Armor צריכה להיות גישה ליומנים הבאים. הם צריכים להיות מאוחסנים ב-Cloud Logging או להיות מנותבים אל קטגוריה של רישום ביומן שאפשר לגשת אליה ב-Cloud Armor.

  • networksecurity.googleapis.com/dos_attack
  • networksecurity.googleapis.com/network_dos_attack
  • networksecurity.googleapis.com/network_dos_attack_mitigations

יומני אירועים של צעדים לצמצום נזקים ממתקפות ב-Cloud Logging

כש-Cloud Armor מפחית מתקפות DDoS, הוא יוצר שלושה סוגים של רשומות ביומן האירועים. פורמטי היומן כוללים ניתוחים של כתובות IP של לקוחות ומיקומים גיאוגרפיים, כשזה אפשרי. בקטעים הבאים מוצגות דוגמאות לפורמט של יומן לכל סוג של יומן אירועים:

השבתה זמנית של אותות אכיפה התחילה

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_STARTED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "started": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
      },
      "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
            "pps": "10000",
            "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
            "pps": "5000",
            "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
            "pps": "100000",
            "bps": "20000000"
            }
         }
      ]
      }
   }

הטיפול נמשך

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ONGOING",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "1234000",
         "bps": "9876000000"
      },
      "ongoing": {
         "totalAttackVolume": {
            "pps": "1000000",
            "bps": "9000000000"
         },
         "topSourceIp": [
         {
            "ipAddress": "1.2.3.4",
            "volume": {
               "pps": "10000",
               "bps": "2000000"
            }
         },
         {
            "ipAddress": "2.3.4.5",
            "volume": {
               "pps": "5000",
               "bps": "1000000"
            }
         }
      ],
      "topSourceGeo": [
         {
            "geo": "US",
            "volume": {
               "pps": "100000",
               "bps": "20000000"
            }
         }
      ]
      }
   }

השבתה זמנית של אותות אכיפה הסתיימה

   {
      "id": "20220101_1235_mitigiation_1.2.3.4",
      "mitigationType": "MITIGATION_ENDED",
      "targetVip": "1.2.3.4",
      "totalVolume": {
         "pps": "2314000",
         "bps": "9768000000"
      },
      "ended": {
         "attackDurationSeconds": 345
      }
   }

במסוף Google Cloud , עוברים לדף Logs Explorer ומציגים את ProtectedEndpoint resource.

כניסה לדף Logs Explorer

אפשר גם להציג את network_dos_attack_mitigations שם היומן.

מדדים של Cloud Monitoring

מדדי טלמטריה של צעדים לצמצום השפעה של מתקפות DDoS מוצגים במשאב Protected Network Endpoint ‏ (ProtectedEndpoint), שזמין רק לכתובות IP וירטואליות בשכבת האפליקציה (שכבה 7) שרשומות ב-Google Cloud Armor Enterprise. אלה המדדים שזמינים:

  • בייט של תעבורת נכנסת (/dos/ingress_bytes)
  • מנות נכנסות (/dos/ingress_packets)

אפשר לקבץ ולסנן את המדדים הקודמים לפי התוויות הבאות:

תווית ערך
project_id מזהה הפרויקט שרשום ל-Cloud Armor Enterprise.
location המיקום של נקודת הקצה המוגנת.
vip כתובת ה-IP הווירטואלית של נקודת הקצה המוגנת.
drop_status ערכים אפשריים:
  • processed: התנועה לא נחסמה על ידי ההגנה מפני התקפות DDoS שפועלת תמיד ב-Cloud Armor, כלומר היא נבדקה בהתאם למדיניות האבטחה שלכם.
  • blocked: הגישה לתנועה נחסמה על ידי ההגנה מפני התקפות DDoS שפועלת תמיד ב-Cloud Armor, והתנועה נפסלה לפני שנבדקה בהתאם למדיניות האבטחה שלכם.

נכנסים לדף Metrics Explorer במסוף Google Cloud .

לדף Metrics Explorer

הסבר על מדדי טלמטריה של כתובות IP וירטואליות עם נפח תנועה נמוך

עבור כתובות IP וירטואליות (VIP) שמקבלות פחות מ-100,000 מנות בשנייה, מומלץ להשתמש בחלון זמן ארוך יותר כדי להציג מדדים ב-Cloud Monitoring. לדוגמה, אם כתובת VIP עם נפח תנועה גבוה יותר עשויה להשתמש ב-ALIGN_RATE של דקה אחת, אנחנו ממליצים במקום זאת על ALIGN_RATE של 10 דקות. שימוש בחלון זמן ארוך יותר עוזר לצמצם את נפח הארטיפקטים שנובעים מיחס אות לרעש נמוך.

בנוסף, חלק מהרכיבים של שיעור התנועה ש-Cloud Armor חוסם (שיעור החסימה) מחושבים באמצעות שיטות סטטיסטיות, ויכול להיות שהם פחות מדויקים עבור כתובות VIP עם תנועה נמוכה. כלומר, במהלך מתקפת DDoS, שיעור הנטישה שמדווח ב-Cloud Monitoring עשוי להיות נמוך מעט משיעור הנטישה האמיתי. השיטה הזו מצמצמת את האפקטים הסטטיסטיים שעלולים להוביל להערכת יתר של נפח התנועה שנחסם, במיוחד עבור כתובות VIP שמקבלות נפח תנועה נמוך ולא נמצאות תחת מתקפה.