教學課程:檢視與設定 Azure DDoS 保護遙測

  • 發行項

Azure DDoS 保護透過 DDoS 攻擊分析提供攻擊模式的深入見解和視覺效果。 其可讓客戶透過報告和流量記錄,全面了解攻擊流量和風險降低動作。 在 DDoS 攻擊期間,可透過 Azure 監視器取得詳細的計量,這也可根據這些計量來允許警示設定。

在本教學課程中,您將了解如何:

  • 檢視 Azure DDoS 保護遙測
  • 檢視 Azure DDoS 保護風險降低原則
  • 驗證和測試 Azure DDoS 保護遙測

如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶

必要條件

  • 如果您沒有 Azure 訂用帳戶,請在開始前建立免費帳戶
  • 您必須先建立 DDoS 模擬攻擊以產生遙測,才能完成本教學課程中的步驟。 遙測資料會在攻擊期間記錄下來。 如需詳細資訊,請參閱透過模擬來測試 DDoS 保護

檢視 Azure DDoS 保護遙測

攻擊的遙測可透過 Azure 監視器即時提供。 雖然 TCP SYN、TCP 和 UDP 的風險降低觸發程序可在安全期間使用,但只有在公用 IP 位址處於風險降低狀態時,才能使用其他遙測。

您可以透過三種不同的資源類型檢視受保護公用 IP 位址的 DDoS 遙測:DDoS 保護計劃、虛擬網路和公用 IP 位址。

記錄可以透過 Azure 監視器診斷介面來進一步與 Microsoft Sentinel、Splunk (Azure 事件中樞)、OMS Log Analytics 及 Azure 儲存體整合,以進行進階分析。

如需計量的詳細資訊,請參閱監視 Azure DDoS 保護,以取得 DDoS 保護監視記錄的詳細資料。

從 DDoS 保護計劃檢視計量

  1. 請登入 Azure 入口網站,並選取您的 DDoS 保護計劃。
  2. 在 Azure 入口網站的功能表中,選取或搜尋並選取 [DDoS 保護計劃],然後選取您的 DDoS 保護計劃。
  3. 在 [監視] 下,選取 [計量]。
  4. 選取 [新增計量],然後選取 [範圍]
  5. 在 [選取範圍] 功能表中,選取包含您要記錄之公用 IP 位址的 [訂用帳戶]
  6. 在 [資源類型] 選取 [公用 IP 位址],然後選取您想要為其記錄計量的特定公用 IP 位址,再選取 [套用]
  7. 針對 [計量],選取 [是否受到 DDoS 攻擊]
  8. 選取 [最大值] 作為彙總類型。

建立 DDoS 保護計量功能表的螢幕快照。

從虛擬網路檢視計量

  1. 登入 Azure 入口網站,並瀏覽至已啟用 DDoS 保護的虛擬網路。
  2. 在 [監視] 下,選取 [計量]。
  3. 選取 [新增計量],然後選取 [範圍]
  4. 在 [選取範圍] 功能表中,選取包含您要記錄之公用 IP 位址的 [訂用帳戶]
  5. 在 [資源類型] 選取 [公用 IP 位址],然後選取您想要為其記錄計量的特定公用 IP 位址,再選取 [套用]
  6. 在 [計量] 下選取您選擇的計量,然後在 [彙總] 下選取類型為 [最大值]

注意

若要篩選 IP 位址,請選取 [新增篩選]。 在 [屬性] 底下,選取 [受保護的 IP 位址],並將運算子設定為 =。 在 [值] 底下,您會看到受 Azure DDoS 保護所保護的虛擬網路相關聯公用 IP 位址下拉式清單。

DDoS 診斷設定的螢幕快照。

從公用 IP 位址檢視計量

  1. 登入 Azure 入口網站並瀏覽至您的公用 IP 位址。
  2. 在 Azure 入口網站的功能表中,選取或搜尋並選取 [公用 IP 位址],然後選取您的公用 IP 位址。
  3. 在 [監視] 下,選取 [計量]。
  4. 選取 [新增計量],然後選取 [範圍]
  5. 在 [選取範圍] 功能表中,選取包含您要記錄之公用 IP 位址的 [訂用帳戶]
  6. 在 [資源類型] 選取 [公用 IP 位址],然後選取您想要為其記錄計量的特定公用 IP 位址,再選取 [套用]
  7. 在 [計量] 下選取您選擇的計量,然後在 [彙總] 下選取類型為 [最大值]

注意

將 DDoS IP 保護從 [已啟用] 變更為 [已停用] 時,將無法使用該公用 IP 資源的遙測。

檢視 DDoS 風險降低原則

Azure DDoS 保護會針對要保護之資源的每個公用IP位址,使用三個自動調整的風險降低原則(TCP SYN、TCP 和 UDP)。 這適用於已啟用 DDoS 保護的任何虛擬網路。

您可以選擇輸入 SYN 封包來觸發 DDoS 風險降低、輸入 TCP 封包來觸發 DDoS 風險降低,以及觸發 DDoS 風險降低的輸入 UDP 封包,來查看公用 IP 位址計量內的原則限制。 請務必將匯總類型設定為 Max

檢視風險降低原則的螢幕快照。

檢視和平時間流量遙測

請務必留意 TCP SYN、UDP 和 TCP 偵測觸發程式的計量。 這些計量可協助您知道 DDoS 保護何時開始。 請確定這些觸發程式會在沒有攻擊時反映一般流量層級。

您可以建立公用IP位址資源的圖表。 在此圖表中,包含封包計數和SYN計數計量。 封包計數同時包含 TCP 和 UDP 封包。 這會顯示流量的總和。

檢視和平時間遙測的螢幕快照。

注意

若要進行公平的比較,您需要將數據轉換成每秒封包。 您可以將您看到的數位除以 60,因為數據代表在 60 秒內收集的封包、位元組或 SYN 封包數目。 例如,如果您有 91,000 個封包收集超過 60 秒,請將 91,000 除以 60,以取得大約每秒 1,500 個封包(pps)。

驗證和測試

若要模擬 DDoS 攻擊來驗證 DDoS 保護遙測,請參閱驗證 DDoS 偵測

下一步

在本教學課程中,您已了解如何:

  • 設定 DDoS 保護計量的警示
  • 檢視 DDoS 保護遙測
  • 檢視 DDoS 風險降低原則
  • 驗證和測試 DDoS 保護遙測

若要了解如何設定攻擊風險降低報告和流量記錄,請繼續進行下一個教學課程。

檢視和設定 DDoS 診斷記錄