Google Cloud Armor Enterprise 可讓您使用 Cloud Logging 和 Cloud Monitoring 分析 DDoS 攻擊及其來源。
Google Cloud Armor 會自動偵測並防範網路層 (第 3 層) 和傳輸層 (第 4 層) 的攻擊,在強制執行安全政策前採取防範措施,並只根據安全政策規則評估格式正確的要求。因此,因全天候 DDoS 防護而遭捨棄的流量,不會顯示在安全政策或後端的遙測資料中。
不過,DDoS 緩解事件的 Cloud Logging 和 Cloud Monitoring 指標屬於 DDoS 攻擊可視性,這項功能僅供 Cloud Armor Enterprise 訂閱者使用。以下各節說明如何使用 Logging 和 Monitoring 分析 DDoS 攻擊及其來源。下列負載平衡器類型可顯示 DDoS 攻擊:
- 全域外部應用程式負載平衡器
- 傳統版應用程式負載平衡器
如果您使用跨專案服務參照,則只能在包含負載平衡器前端和網址對應的主機或服務專案中,查看與 DDoS 攻擊可見度相關的遙測和記錄資料。您無法在包含後端服務的服務專案中,查看遙測和記錄資料。
為確保記錄和報表正確無誤,Cloud Armor 需要存取下列記錄。這些記錄必須儲存在 Cloud Logging 中,或傳送至 Cloud Armor 可存取的記錄值區。
networksecurity.googleapis.com/dos_attacknetworksecurity.googleapis.com/network_dos_attacknetworksecurity.googleapis.com/network_dos_attack_mitigations
Cloud Logging 攻擊緩解事件記錄
Cloud Armor 會在緩解 DDoS 攻擊時產生三種事件記錄項目。記錄格式會盡可能分析用戶端 IP 位址和地理位置。以下各節提供每種事件記錄的記錄格式範例:
已開始緩解
{
"id": "20220101_1235_mitigation_1.2.3.4",
"mitigationType": "MITIGATION_STARTED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"started": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
正在緩解
{
"id": "20220101_1235_mitigation_1.2.3.4",
"mitigationType": "MITIGATION_ONGOING",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "1234000",
"bps": "9876000000"
},
"ongoing": {
"totalAttackVolume": {
"pps": "1000000",
"bps": "9000000000"
},
"topSourceIp": [
{
"ipAddress": "1.2.3.4",
"volume": {
"pps": "10000",
"bps": "2000000"
}
},
{
"ipAddress": "2.3.4.5",
"volume": {
"pps": "5000",
"bps": "1000000"
}
}
],
"topSourceGeo": [
{
"geo": "US",
"volume": {
"pps": "100000",
"bps": "20000000"
}
}
]
}
}
緩解措施已結束
{
"id": "20220101_1235_mitigation_1.2.3.4",
"mitigationType": "MITIGATION_ENDED",
"targetVip": "1.2.3.4",
"totalVolume": {
"pps": "2314000",
"bps": "9768000000"
},
"ended": {
"attackDurationSeconds": 345
}
}
前往 Google Cloud 控制台的「Logs Explorer」頁面,然後查看ProtectedEndpoint資源。
或者,您也可以查看 network_dos_attack_mitigations 記錄名稱。
Cloud Monitoring 指標
DDoS 緩解遙測指標會顯示在「受保護的網路端點」 (ProtectedEndpoint) 資源下方,僅適用於已註冊 Cloud Armor Enterprise 的應用層 (第 7 層) 虛擬 IP 位址。可用的指標如下:
- 輸入位元組數 (
/dos/ingress_bytes) - 輸入封包 (
/dos/ingress_packets)
您可以根據下列標籤,將上述指標分組及篩選:
| 標籤 | 值 |
|---|---|
project_id |
已註冊 Cloud Armor Enterprise 的專案 ID。 |
location |
受保護端點的位置。 |
vip |
受保護端點的虛擬 IP 位址。 |
drop_status |
可能的值包括:
|
前往 Google Cloud 控制台的「指標探索器」頁面。
解讀流量偏低的虛擬 IP 位址遙測指標
如果虛擬 IP 位址 (VIP) 每秒接收的封包少於 10 萬個,建議您使用較長的時間視窗,在 Cloud Monitoring 中查看指標。舉例來說,高流量 VIP 可能會使用 1 分鐘的 ALIGN_RATE,但我們建議使用 10 分鐘的 ALIGN_RATE。使用較長的時間視窗有助於減少訊號雜訊比不佳所導致的構件量。
此外,Cloud Armor 捨棄流量的速率 (捨棄率) 有些部分是透過統計方式推斷,因此流量較低的 VIP 可能不太準確。也就是說,在 DDoS 攻擊期間,Cloud Monitoring 報告的丟包率可能略低於實際丟包率。這可減少統計構件,避免高估流量下降量,尤其是流量偏低且未遭受攻擊的 VIP。