教學課程:Azure DDoS 保護模擬測試
最好透過定期模擬來測試服務如何回應攻擊的假設。 在測試期間,驗證您的服務或應用程式是否繼續如預期般運作,且不會中斷用戶體驗。 從技術和程序的觀點找出差距,並將其納入 DDoS 回應策略中。 建議您在預備環境中或在非尖峰時段執行這類測試,以將對生產環境的影響降到最低。
模擬可協助您:
- 驗證 Azure DDoS 保護會如何保護您的 Azure 資源免受 DDoS 攻擊。
- 使遭受 DDoS 攻擊時的事件回應程序達到最佳化。
- 記載 DDoS 合規性。
- 訓練網路安全性小組。
Azure DDoS 模擬測試原則
您只能使用我們核准的測試合作夥伴來模擬攻擊:
- BreakingPoint Cloud:自助流量產生器,您的客戶可以對啟用 DDOS 保護的公用端點產生流量,以進行模擬。
- MazeBolt:RADAR™ 平臺會持續識別並啟用 DDoS 弱點的消除– 主動且零中斷商務營運。
- Red Button:與專門的專家小組合作,在受控制環境中模擬真實的 DDoS 攻擊案例。
- RedWolf:具有即時控制的自助或引導式 DDoS 測試提供者。
我們的測試合作夥伴模擬環境是建置在 Azure 內。 您只能針對屬於您自己 Azure 訂用帳戶的 Azure 裝載公用 IP 位址進行模擬,這會由我們的合作夥伴在測試之前進行驗證。 此外,這些目標公用IP位址必須受到 Azure DDoS 保護的保護。 模擬測試可讓您評估您目前整備狀態、識別事件回應程式中的差距,並引導您開發適當的 DDoS 回應策略。
注意
BreakingPoint Cloud 和 Red Button 僅適用於公用雲端。
在本教學課程中,您將建立測試環境,包括:
- DDoS 保護方案
- 虛擬網路
- Azure Bastion 主機
- 負載平衡器
- 兩部虛擬機器
接著,您將設定診斷記錄和警示,以監視攻擊和流量模式。 最後,您將使用我們其中一個核准的測試合作夥伴來設定 DDoS 攻擊模擬。
必要條件
- 具有有效訂用帳戶的 Azure 帳戶。
- 若要使用診斷記錄,您必須先建立已啟用診斷設定的 Log Analytics 工作區。
- 在本教學課程中,您必須部署Load Balancer、公用IP位址、Bastion和兩部虛擬機。 如需詳細資訊,請參閱 使用 DDoS 保護部署 Load Balancer。 您可以在使用 DDoS 保護部署負載平衡器教學課程中略過 NAT 閘道步驟。
設定 DDoS 保護計量和警示
在本教學課程中,我們將設定 DDoS 保護計量和警示,以監視攻擊和流量模式。
設定診斷記錄
登入 Azure 入口網站。
在入口網站頂端的搜尋方塊中,輸入 [監視]。 在搜尋結果中選取 [監視 ]。
選取左窗格中 設定 下的 [診斷 設定],然後在 [診斷設定] 頁面中選取下列資訊。 接下來,選取 [ 新增診斷設定]。
設定 值 訂用帳戶 選取包含您要記錄之公用IP位址的訂用帳戶。 資源群組 選取 包含您要記錄之公用IP位址的資源群組 。 資源類型 選取 [公用IP 位址]。 資源 選取您想要記錄計量的特定 公用IP位址 。 在 [診斷設定] 頁面的 [目的地詳細數據] 底下,選取 [傳送至 Log Analytics 工作區],然後輸入下列資訊,然後選取 [儲存]。
設定 值 診斷設定名稱 輸入 myDiagnostic 設定。 記錄 選取 allLogs。 計量 選取 [AllMetrics]。 目的地詳細資料 選取 [傳送至 Log Analytics 工作區]。 訂用帳戶 選取 Azure 訂閱。 Log Analytics 工作區 選取 myLogAnalyticsWorkspace。
設定計量警示
登入 Azure 入口網站。
在入口網站頂端的搜尋方塊中,輸入 [警示]。 在搜尋結果中,選取 [警示]。
選取 導覽列上的 [+ 建立 ],然後選取 [ 警示規則]。
在 [建立警示規則] 頁面上,選取 [+ 選取範圍],然後在 [選取資源] 頁面中選取下列資訊。
設定 值 依訂閱篩選 選取包含您要記錄之公用IP位址的訂用帳戶。 依資源類型篩選 選取 [公用IP 位址]。 資源 選取您想要記錄計量的特定 公用IP位址 。 選取 [ 完成],然後選取 [ 下一步:條件]。
在 [條件] 頁面上,選取 [+ 新增條件],然後在 [依訊號名稱搜尋] 方塊中搜尋,然後選取 [DDoS 攻擊下] 。
-
設定 值 臨界值 保留為預設值。 彙總類型 保留為預設值。 運算子 選取 [大於或等於]。 單位 保留為預設值。 閾值 輸入 1。 對於 Under DDoS 攻擊或非計量,0 表示您沒有受到攻擊,而 1 表示您受到攻擊。 選取 [下一步:動作 ],然後選取 [+ 建立動作群組]。
建立動作群組
在 [ 建立動作群組 ] 頁面中,輸入下列資訊,然後選取 [ 下一步:通知]。
設定 值 訂用帳戶 選取包含您要記錄之公用IP位址的 Azure 訂用帳戶。 資源群組 選取您的資源群組。 區域 保留為預設值。 動作群組 輸入 myDDoSAlertsActionGroup。 Display name 輸入 myDDoSAlerts。 在 [通知] 索引標籤的 [通知類型] 底下,選取 [電子郵件/簡訊/推播/語音]。 在 [名稱] 底下,輸入 myUnderAttackEmailAlert。
在 [ 電子郵件/SMS 訊息/推播/語音 ] 頁面上,選取 [ 電子郵件 ] 複選框,然後輸入必要的電子郵件。 選取 [確定]。
選取 [檢閱 + 建立],然後選取 [建立]。
繼續透過入口網站設定警示
選取 [下一步:詳細資料]。
在 [詳細數據] 索引標籤的 [警示規則詳細數據] 底下,輸入下列資訊。
設定 值 嚴重性 選取 [2 - 警告]。 警示規則名稱 輸入 myDDoSAlert。 選取 [檢閱 + 建立],然後在通過驗證後選取 [建立]。
設定 DDoS 攻擊模擬
BreakingPoint Cloud
BreakingPoint Cloud 是自助流量產生器,您可以針對已啟用 DDoS 保護的公用端點產生流量,以進行模擬。
BreakingPoint Cloud 供應專案:
- 簡化的使用者介面和「現成」體驗。
- 按使用量付費模型。
- 預先定義的 DDoS 測試重設大小和測試持續時間設定檔可藉由消除設定錯誤的可能性,來啟用更安全的驗證。
- 免費試用帳戶。
注意
針對 BreakingPoint Cloud,您必須先 建立 BreakingPoint Cloud 帳戶。
範例攻擊值:
設定 | 值 |
---|---|
目標IP位址 | 輸入您想要測試的其中一個公用IP位址。 |
連接埠號碼 | 輸入 443。 |
DDoS 設定檔 | 可能的值包括DNS Flood 、、NTPv2 Flood 、、、UDP 64B Flood UDP 512B Flood SSDP Flood UDP 128B Flood TCP SYN Flood UDP 256B Flood 、UDP 1024B Flood 、、、、 。 UDP Fragmentation UDP Memcached UDP 1514B Flood |
測試大小 | 可能的值包括100K pps, 50 Mbps and 4 source IPs 、、200K pps, 100 Mbps and 8 source IPs 400K pps, 200Mbps and 16 source IPs 、 800K pps, 400 Mbps and 32 source IPs 。 |
測試持續時間 | 可能的值包括10 Minutes 、、15 Minutes 20 Minutes 、25 Minutes 、 30 Minutes 。 |
注意
- 如需搭配 Azure 環境使用 BreakingPoint Cloud 的詳細資訊,請參閱此 BreakingPoint Cloud 部落格。
- 如需使用 BreakingPoint Cloud 的影片示範,請參閱 DDoS 攻擊模擬。
紅色按鈕
Red Button 的 DDoS 測試 服務套件包含三個階段:
- 規劃研討會:Red Button 專家會晤您的小組,以瞭解您的網路架構、組合技術詳細數據,以及定義明確的目標和測試排程。 這包括規劃 DDoS 測試範圍和目標、攻擊向量和攻擊率。 聯合規劃工作詳述於測試計劃檔中。
- 受控 DDoS 攻擊:根據定義的目標,Red Button 小組會啟動多向量 DDoS 攻擊的組合。 測試通常持續三到六個小時。 使用專用伺服器安全地執行攻擊,並使用 Red Button 的管理控制台來控制和監視攻擊。
- 摘要和建議:紅色按鈕小組提供您撰寫的 DDoS 測試報告,概述 DDoS 風險降低的有效性。 報告包含測試結果的執行摘要、仿真的完整記錄、基礎結構內的弱點清單,以及如何更正這些弱點的建議。
以下是來自紅色按鈕的 DDoS 測試報表 範例:
此外,Red Button 提供另外兩個服務套件 DDoS 360 和 DDoS 事件回應,可補充 DDoS 測試服務套件。
RedWolf
RedWolf 提供易於使用的測試系統,無論是自助還是由 RedWolf 專家指導。 RedWolf 測試系統可讓客戶設定攻擊媒介。 客戶可以使用設定的即時控制來指定攻擊大小,以模擬受控制環境中的真實世界 DDoS 攻擊案例。
RedWolf 的 DDoS 測試 服務套件包括:
- 攻擊向量:RedWolf 設計的唯一雲端攻擊。 如需 RedWolf 攻擊向量的詳細資訊,請參閱 技術詳細數據。
- 引導式服務:利用 RedWolf 的團隊來執行測試。 如需 RedWolf 引導式服務的詳細資訊,請參閱 引導式服務。
- 自助:利用 RedWol 自行執行測試。 如需 RedWolf 自助的詳細資訊,請參閱 自助。
MazeBolt
RADAR™ 平臺會持續識別並啟用 DDoS 弱點的消除 – 主動且零中斷業務營運。
下一步
若要在攻擊之後檢視攻擊計量和警示,請繼續進行下一個教學課程。