Share via

Samouczek: wyświetlanie i konfigurowanie telemetrii usługi Azure DDoS Protection

  • Artykuł

Usługa Azure DDoS Protection oferuje szczegółowe informacje i wizualizacje wzorców ataków za pośrednictwem analizy ataków DDoS. Zapewnia klientom kompleksowy wgląd w ruch ataków i działania zaradcze za pośrednictwem raportów i dzienników przepływu. Podczas ataku DDoS szczegółowe metryki są dostępne za pośrednictwem usługi Azure Monitor, która umożliwia również konfiguracje alertów na podstawie tych metryk.

Z tego samouczka dowiesz się, jak wykonywać następujące czynności:

  • Wyświetlanie danych telemetrycznych usługi Azure DDoS Protection
  • Wyświetlanie zasad ograniczania ryzyka usługi Azure DDoS Protection
  • Weryfikowanie i testowanie danych telemetrycznych usługi Azure DDoS Protection

Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.

Wymagania wstępne

  • Jeśli nie masz subskrypcji platformy Azure, przed rozpoczęciem utwórz bezpłatne konto.
  • Przed wykonaniem kroków opisanych w tym samouczku należy najpierw utworzyć atak symulacji DDoS w celu wygenerowania danych telemetrycznych. Dane telemetryczne są rejestrowane podczas ataku. Aby uzyskać więcej informacji, zobacz Testowanie ochrony przed atakami DDoS za pomocą symulacji.

Wyświetlanie danych telemetrycznych usługi Azure DDoS Protection

Dane telemetryczne w przypadku ataku są udostępniane za pośrednictwem usługi Azure Monitor w czasie rzeczywistym. Chociaż wyzwalacze ograniczania ryzyka dla protokołu TCP SYN, protokół TCP i UDP są dostępne w czasie pokoju, inne dane telemetryczne są dostępne tylko wtedy, gdy publiczny adres IP został objęty ograniczeniem ryzyka.

Dane telemetryczne DDoS dla chronionego publicznego adresu IP można wyświetlić za pomocą trzech różnych typów zasobów: plan ochrony przed atakami DDoS, sieć wirtualna i publiczny adres IP.

Rejestrowanie można dodatkowo zintegrować z usługami Microsoft Sentinel, Splunk (Azure Event Hubs), OMS Log Analytics i Azure Storage w celu przeprowadzenia zaawansowanej analizy za pośrednictwem interfejsu diagnostyki usługi Azure Monitor.

Aby uzyskać więcej informacji na temat metryk, zobacz Monitorowanie usługi Azure DDoS Protection , aby uzyskać szczegółowe informacje na temat dzienników monitorowania usługi DDoS Protection.

Wyświetlanie metryk z poziomu planu ochrony przed atakami DDoS

  1. Zaloguj się do witryny Azure Portal i wybierz plan ochrony przed atakami DDoS.
  2. W menu witryny Azure Portal wybierz lub wyszukaj i wybierz pozycję Plany ochrony przed atakami DDoS, a następnie wybierz plan ochrony przed atakami DDoS.
  3. W obszarze Monitorowanie wybierz pozycję Metryki.
  4. Wybierz pozycję Dodaj metryki , a następnie wybierz pozycję Zakres.
  5. W menu Wybierz zakres wybierz subskrypcję zawierającą publiczny adres IP, który chcesz zarejestrować.
  6. Wybierz pozycję Publiczny adres IP dla pozycji Typ zasobu, a następnie wybierz konkretny publiczny adres IP, dla którego chcesz rejestrować metryki, a następnie wybierz pozycję Zastosuj.
  7. W obszarze Metryka wybierz pozycję W obszarze Atak DDoS lub nie.
  8. Wybierz typ agregacji jako Wartość maksymalna.

Zrzut ekranu przedstawiający menu metryk ochrony przed atakami DDoS.

Wyświetlanie metryk z poziomu sieci wirtualnej

  1. Zaloguj się do witryny Azure Portal i przejdź do sieci wirtualnej z włączoną ochroną przed atakami DDoS.
  2. W obszarze Monitorowanie wybierz pozycję Metryki.
  3. Wybierz pozycję Dodaj metryki , a następnie wybierz pozycję Zakres.
  4. W menu Wybierz zakres wybierz subskrypcję zawierającą publiczny adres IP, który chcesz zarejestrować.
  5. Wybierz pozycję Publiczny adres IP dla pozycji Typ zasobu, a następnie wybierz konkretny publiczny adres IP, dla którego chcesz rejestrować metryki, a następnie wybierz pozycję Zastosuj.
  6. W obszarze Metryka wybierz wybraną metryę, a następnie w obszarze Agregacja wybierz typ jako Wartość maksymalna.

Uwaga

Aby filtrować adresy IP, wybierz pozycję Dodaj filtr. W obszarze Właściwość wybierz pozycję Chroniony adres IP, a operator powinien mieć wartość =. W obszarze Wartości zostanie wyświetlona lista rozwijana publicznych adresów IP skojarzonych z siecią wirtualną, która jest chroniona przez usługę Azure DDoS Protection.

Zrzut ekranu przedstawiający ustawienia diagnostyczne usługi DDoS.

Wyświetlanie metryk z poziomu publicznego adresu IP

  1. Zaloguj się do witryny Azure Portal i przejdź do publicznego adresu IP.
  2. W menu witryny Azure Portal wybierz lub wyszukaj i wybierz pozycję Publiczne adresy IP, a następnie wybierz swój publiczny adres IP.
  3. W obszarze Monitorowanie wybierz pozycję Metryki.
  4. Wybierz pozycję Dodaj metryki , a następnie wybierz pozycję Zakres.
  5. W menu Wybierz zakres wybierz subskrypcję zawierającą publiczny adres IP, który chcesz zarejestrować.
  6. Wybierz pozycję Publiczny adres IP dla pozycji Typ zasobu, a następnie wybierz konkretny publiczny adres IP, dla którego chcesz rejestrować metryki, a następnie wybierz pozycję Zastosuj.
  7. W obszarze Metryka wybierz wybraną metryę, a następnie w obszarze Agregacja wybierz typ jako Wartość maksymalna.

Uwaga

W przypadku zmiany ochrony adresów IP przed atakami DDoS z włączonej na wyłączoną dane telemetryczne dla zasobu publicznego adresu IP nie będą dostępne.

Wyświetlanie zasad ograniczania ryzyka ataków DDoS

Usługa Azure DDoS Protection używa trzech automatycznie dostosowanych zasad ograniczania ryzyka (TCP SYN, TCP i UDP) dla każdego publicznego adresu IP chronionego zasobu. Dotyczy to dowolnej sieci wirtualnej z włączoną ochroną przed atakami DDoS.

Limity zasad można wyświetlić w metrykach publicznego adresu IP, wybierając pakiety SYN dla ruchu przychodzącego w celu wyzwolenia ograniczania ryzyka ataków DDoS, przychodzących pakietów TCP w celu wyzwolenia ograniczania ryzyka ataków DDoS i pakietów UDP dla ruchu przychodzącego w celu wyzwolenia metryk ograniczania ryzyka ataków DDoS. Pamiętaj, aby ustawić typ agregacji na Wartość Maksymalna.

Zrzut ekranu przedstawiający wyświetlanie zasad ograniczania ryzyka.

Wyświetlanie telemetrii ruchu w czasie pokoju

Ważne jest, aby mieć oko na metryki wyzwalaczy wykrywania TCP SYN, UDP i TCP. Te metryki ułatwiają zapoznanie się z rozpoczęciem ochrony przed atakami DDoS. Upewnij się, że te wyzwalacze odzwierciedlają normalne poziomy ruchu, gdy nie ma ataku.

Możesz utworzyć wykres zasobu publicznego adresu IP. Na tym wykresie uwzględnij metryki Liczba pakietów i Liczba synów. Liczba pakietów obejmuje pakiety TCP i UDP. Spowoduje to wyświetlenie sumy ruchu.

Zrzut ekranu przedstawiający wyświetlanie telemetrii czasu pokoju.

Uwaga

Aby dokonać sprawiedliwego porównania, należy przekonwertować dane na pakiety na sekundę. Można to zrobić, dzieląc liczbę widoczną przez 60, ponieważ dane reprezentują liczbę pakietów, bajtów lub pakietów SYN zebranych przez ponad 60 sekund. Na przykład jeśli masz 91 000 pakietów zebranych ponad 60 sekund, podziel 91 000 o 60, aby uzyskać około 1500 pakietów na sekundę (pps).

Zweryfikuj i przetestuj

Aby zasymulować atak DDoS w celu zweryfikowania telemetrii ochrony przed atakami DDoS, zobacz Weryfikowanie wykrywania ataków DDoS.

Następne kroki

W tym samouczku zawarto informacje na temat wykonywania następujących czynności:

  • Konfigurowanie alertów dla metryk ochrony przed atakami DDoS
  • Wyświetlanie danych telemetrycznych ochrony przed atakami DDoS
  • Wyświetlanie zasad ograniczania ryzyka ataków DDoS
  • Weryfikowanie i testowanie telemetrii ochrony przed atakami DDoS

Aby dowiedzieć się, jak skonfigurować raporty ograniczania ryzyka ataków i dzienniki przepływu, przejdź do następnego samouczka.

Wyświetlanie i konfigurowanie rejestrowania diagnostycznego dotyczącego ataków DDoS