教學課程:Azure DDoS 保護模擬測試

  • 發行項

最好透過定期模擬來測試服務如何回應攻擊的假設。 在測試期間,驗證您的服務或應用程式是否繼續如預期般運作,且不會中斷用戶體驗。 從技術和程序的觀點找出差距,並將其納入 DDoS 回應策略中。 建議您在預備環境中或在非尖峰時段執行這類測試,以將對生產環境的影響降到最低。

模擬可協助您:

  • 驗證 Azure DDoS 保護會如何保護您的 Azure 資源免受 DDoS 攻擊。
  • 使遭受 DDoS 攻擊時的事件回應程序達到最佳化。
  • 記載 DDoS 合規性。
  • 訓練網路安全性小組。

Azure DDoS 模擬測試原則

您只能使用我們核准的測試合作夥伴來模擬攻擊:

  • BreakingPoint Cloud:自助流量產生器,您的客戶可以對啟用 DDOS 保護的公用端點產生流量,以進行模擬。
  • MazeBolt:RADAR™ 平臺會持續識別並啟用 DDoS 弱點的消除– 主動且零中斷商務營運。
  • Red Button:與專門的專家小組合作,在受控制環境中模擬真實的 DDoS 攻擊案例。
  • RedWolf:具有即時控制的自助或引導式 DDoS 測試提供者。

我們的測試合作夥伴模擬環境是建置在 Azure 內。 您只能針對屬於您自己 Azure 訂用帳戶的 Azure 裝載公用 IP 位址進行模擬,這會由我們的合作夥伴在測試之前進行驗證。 此外,這些目標公用IP位址必須受到 Azure DDoS 保護的保護。 模擬測試可讓您評估您目前整備狀態、識別事件回應程式中的差距,並引導您開發適當的 DDoS 回應策略

注意

BreakingPoint Cloud 和 Red Button 僅適用於公用雲端。

在本教學課程中,您將建立測試環境,包括:

  • DDoS 保護方案
  • 虛擬網路
  • Azure Bastion 主機
  • 負載平衡器
  • 兩部虛擬機器

接著,您將設定診斷記錄和警示,以監視攻擊和流量模式。 最後,您將使用我們其中一個核准的測試合作夥伴來設定 DDoS 攻擊模擬。

DDoS 保護測試環境架構的圖表。

必要條件

  • 具有有效訂用帳戶的 Azure 帳戶。
  • 若要使用診斷記錄,您必須先建立已啟用診斷設定的 Log Analytics 工作區
  • 在本教學課程中,您必須部署Load Balancer、公用IP位址、Bastion和兩部虛擬機。 如需詳細資訊,請參閱 使用 DDoS 保護部署 Load Balancer。 您可以在使用 DDoS 保護部署負載平衡器教學課程中略過 NAT 閘道步驟。

設定 DDoS 保護計量和警示

在本教學課程中,我們將設定 DDoS 保護計量和警示,以監視攻擊和流量模式。

設定診斷記錄

  1. 登入 Azure 入口網站

  2. 在入口網站頂端的搜尋方塊中,輸入 [監視]。 在搜尋結果中選取 [監視 ]。

  3. 選取左窗格中 設定 下的 [診斷 設定],然後在 [診斷設定] 頁面中選取下列資訊。 接下來,選取 [ 新增診斷設定]。

    監視診斷設定的螢幕快照。

    設定
    訂用帳戶 選取包含您要記錄之公用IP位址的訂用帳戶。
    資源群組 選取 包含您要記錄之公用IP位址的資源群組
    資源類型 選取 [公用IP 位址]。
    資源 選取您想要記錄計量的特定 公用IP位址

  4. 在 [診斷設定] 頁面的 [目的地詳細數據] 底下,選取 [傳送至 Log Analytics 工作區],然後輸入下列資訊,然後選取 [儲存]。

    DDoS 診斷設定的螢幕快照。

    設定
    診斷設定名稱 輸入 myDiagnostic 設定
    記錄 選取 allLogs
    計量 選取 [AllMetrics]
    目的地詳細資料 選取 [傳送至 Log Analytics 工作區]。
    訂用帳戶 選取 Azure 訂閱。
    Log Analytics 工作區 選取 myLogAnalyticsWorkspace

設定計量警示

  1. 登入 Azure 入口網站

  2. 在入口網站頂端的搜尋方塊中,輸入 [警示]。 在搜尋結果中,選取 [警示]

  3. 選取 導覽列上的 [+ 建立 ],然後選取 [ 警示規則]。

    建立警示的螢幕快照。

  4. 在 [建立警示規則] 頁面上,選取 [+ 選取範圍],然後在 [選取資源] 頁面中選取下列資訊

    選取 DDoS 保護攻擊警示範圍的螢幕快照。

    設定
    依訂閱篩選 選取包含您要記錄之公用IP位址的訂用帳戶。
    依資源類型篩選 選取 [公用IP 位址]。
    資源 選取您想要記錄計量的特定 公用IP位址

  5. 選取 [ 完成],然後選取 [ 下一步:條件]。

  6. 在 [條件] 頁面上,選取 [+ 新增條件],然後在 [依訊號名稱搜尋] 方塊中搜尋,然後選取 [DDoS 攻擊下] 。

    新增 DDoS 保護攻擊警示條件的螢幕快照。

  7. 在 [ 建立警示規則 ] 頁面中,輸入或選取下列資訊。 新增 DDoS 保護攻擊警示訊號的螢幕快照。

    設定
    臨界值 保留為預設值。
    彙總類型 保留為預設值。
    運算子 選取 [大於或等於]。
    單位 保留為預設值。
    閾值 輸入 1對於 Under DDoS 攻擊或非計量,0 表示您沒有受到攻擊,1 表示您受到攻擊。

  8. 選取 [下一步:動作 ],然後選取 [+ 建立動作群組]。

建立動作群組

  1. 在 [ 建立動作群組 ] 頁面中,輸入下列資訊,然後選取 [ 下一步:通知]。 新增 DDoS 保護攻擊警示動作群組基本概念的螢幕快照。

    設定
    訂用帳戶 選取包含您要記錄之公用IP位址的 Azure 訂用帳戶。
    資源群組 選取您的資源群組。
    區域 保留為預設值。
    動作群組 輸入 myDDoSAlertsActionGroup
    Display name 輸入 myDDoSAlerts

  2. 在 [通知] 索引標籤的 [通知類型] 底下,選取 [電子郵件/簡訊/推播/語音]。 在 [名稱]下,輸入 myUnderAttackEmailAlert

    新增 DDoS 保護攻擊警示通知類型的螢幕快照。

  3. 在 [ 電子郵件/SMS 訊息/推播/語音 ] 頁面上,選取 [ 電子郵件 ] 複選框,然後輸入必要的電子郵件。 選取 [確定]。

    新增 DDoS 保護攻擊警示通知頁面的螢幕快照。

  4. 選取 [檢閱 + 建立],然後選取 [建立]

繼續透過入口網站設定警示

  1. 選取 [下一步:詳細資料]。

    新增 DDoS 保護攻擊警示詳細數據頁面的螢幕快照。

  2. 在 [詳細數據] 索引標籤的 [警示規則詳細數據] 底下,輸入下列資訊。

    設定
    嚴重性 選取 [2 - 警告]。
    警示規則名稱 輸入 myDDoSAlert

  3. 選取 [檢閱 + 建立],然後在通過驗證後選取 [建立]

設定 DDoS 攻擊模擬

BreakingPoint Cloud

BreakingPoint Cloud 是自助流量產生器,您可以針對已啟用 DDoS 保護的公用端點產生流量,以進行模擬。

BreakingPoint Cloud 供應專案:

  • 簡化的使用者介面和「現成」體驗。
  • 按使用量付費模型。
  • 預先定義的 DDoS 測試重設大小和測試持續時間設定檔可藉由消除設定錯誤的可能性,來啟用更安全的驗證。
  • 免費試用帳戶。

注意

針對 BreakingPoint Cloud,您必須先 建立 BreakingPoint Cloud 帳戶

範例攻擊值:

DDoS 攻擊模擬範例:BreakingPoint Cloud。

設定
目標IP位址 輸入您想要測試的其中一個公用IP位址。
連接埠號碼 輸入 443
DDoS 設定檔 可能的值包括DNS Flood、、NTPv2 Flood、、、UDP 64B FloodUDP 512B FloodSSDP FloodUDP 128B FloodTCP SYN FloodUDP 256B FloodUDP 1024B Flood、、、、 。 UDP FragmentationUDP MemcachedUDP 1514B Flood
測試大小 可能的值包括100K pps, 50 Mbps and 4 source IPs、、200K pps, 100 Mbps and 8 source IPs400K pps, 200Mbps and 16 source IPs800K pps, 400 Mbps and 32 source IPs
測試持續時間 可能的值包括10 Minutes、、15 Minutes20 Minutes25 Minutes30 Minutes

注意

紅色按鈕

Red Button 的 DDoS 測試 服務套件包含三個階段:

  1. 規劃研討會:Red Button 專家會晤您的小組,以瞭解您的網路架構、組合技術詳細數據,以及定義明確的目標和測試排程。 這包括規劃 DDoS 測試範圍和目標、攻擊向量和攻擊率。 聯合規劃工作詳述於測試計劃檔中。
  2. 受控 DDoS 攻擊:根據定義的目標,Red Button 小組會啟動多向量 DDoS 攻擊的組合。 測試通常持續三到六個小時。 使用專用伺服器安全地執行攻擊,並使用 Red Button 的管理控制台來控制和監視攻擊。
  3. 摘要和建議:紅色按鈕小組提供您撰寫的 DDoS 測試報告,概述 DDoS 風險降低的有效性。 報告包含測試結果的執行摘要、仿真的完整記錄、基礎結構內的弱點清單,以及如何更正這些弱點的建議。

以下是來自紅色按鈕的 DDoS 測試報表 範例:

DDoS 測試報告範例。

此外,Red Button 提供另外兩個服務套件 DDoS 360DDoS 事件回應,可補充 DDoS 測試服務套件。

RedWolf

RedWolf 提供易於使用的測試系統,無論是自助還是由 RedWolf 專家指導。 RedWolf 測試系統可讓客戶設定攻擊媒介。 客戶可以使用設定的即時控制來指定攻擊大小,以模擬受控制環境中的真實世界 DDoS 攻擊案例。

RedWolf 的 DDoS 測試 服務套件包括:

  • 攻擊向量:RedWolf 設計的唯一雲端攻擊。 如需 RedWolf 攻擊向量的詳細資訊,請參閱 技術詳細數據
  • 引導式服務:利用 RedWolf 的團隊來執行測試。 如需 RedWolf 引導式服務的詳細資訊,請參閱 引導式服務
  • 自助:利用 RedWol 自行執行測試。 如需 RedWolf 自助的詳細資訊,請參閱 自助

MazeBolt

RADAR™ 平臺會持續識別並啟用 DDoS 弱點的消除 – 主動且零中斷業務營運。

下一步

若要在攻擊之後檢視攻擊計量和警示,請繼續進行下一個教學課程。

在適用於雲端的 Defender 中檢視警示 在 Log Analytic 工作區中檢視診斷記錄與 Azure DDoS 快速響應互動