通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

教程:查看和配置 Azure DDoS 防护遥测

  • 项目

本教程介绍以下操作:

  • 查看 Azure DDoS 防护遥测
  • 查看 Azure DDoS 防护缓解策略
  • 验证和测试 Azure DDoS 防护遥测

Azure DDoS 防护通过 DDoS 攻击分析提供攻击模式的深入见解和可视化效果。 它为客户提供了通过报告和流日志可全面了解的攻击流量和缓解操作。 在 DDoS 攻击期间,可以通过 Azure Monitor 获取详细的指标,这也允许基于这些指标的警报配置。

先决条件

  • 如果没有 Azure 订阅,请在开始之前创建一个免费帐户
  • 必须先创建 DDoS 模拟攻击来生成遥测数据,才能完成本教程中的步骤。 在攻击期间,会记录遥测数据。 有关详细信息,请参阅通过模拟测试 DDoS 防护

查看 Azure DDoS 防护遥测

对攻击的遥测是通过 Azure Monitor 实时提供的。 虽然 TCP SYN、TCP 和 UDP 的缓解触发器在和平期内可用,但其他遥测只能在公共 IP 地址被缓解后可用。

可以通过以下三种不同的资源类型查看受保护的公共 IP 地址的 DDoS 遥测:DDoS 防护计划、虚拟网络和公共 IP 地址。

可将记录与 Microsoft Sentinel、Splunk(Azure 事件中心)、OMS Log Analytics 和 Azure 存储进一步集成,以通过 Azure Monitor 诊断界面进行高级分析。

有关指标的详细信息,请参阅监视 Azure DDoS 防护,以详细了解 DDoS 防护监视日志。

查看 DDoS 防护计划中的指标

  1. 登录 Azure 门户并选择 DDoS 防护计划。

  2. 在 Azure 门户菜单上,选择或搜索并选择“DDoS 防护计划”,然后选择你的 DDoS 防护计划。

  3. 在“监视”下,选择“指标”。

  4. 选择“添加指标”,然后选择“范围”。

  5. 在“选择范围”菜单中选择“订阅”,其中包含要记录的公共 IP 地址。

  6. 为“资源类型”选择“公共 IP 地址”,并选择要为其记录指标的特定公共 IP 地址,然后选择“应用”。

  7. 对于“指标”,选择“是否受到 DDoS 攻击”。

  8. 选择“最大值”作为“聚合”类型 。

    创建 DDoS 防护指标菜单的屏幕截图。

查看来自虚拟网络的指标

  1. 登录到 Azure 门户,然后浏览到已启用 DDoS 防护功能的虚拟网络。

  2. 在“监视”下,选择“指标”。

  3. 选择“添加指标”,然后选择“范围”。

  4. 在“选择范围”菜单中选择“订阅”,其中包含要记录的公共 IP 地址。

  5. 为“资源类型”选择“公共 IP 地址”,并选择要为其记录指标的特定公共 IP 地址,然后选择“应用”。

  6. 在“指标”下选择所选指标,然后在“聚合”下选择类型为“最大值”。

    Azure 中 DDoS 诊断设置的屏幕截图。

注意

若要筛选 IP 地址,请选择“添加筛选器”。 在“属性”下,选择“受保护的 IP 地址”,运算符应设置为 =。 在“值”下,你将看到受 Azure DDoS 防护保护的公共 IP 地址的下拉列表,这些地址与虚拟网络相关联。

查看公共 IP 地址中的指标

  1. 登录到 Azure 门户,并浏览到公共 IP 地址。
  2. 在“Azure 门户”菜单上,选择或搜索并选择“公共 IP 地址”,然后选择你的公共 IP 地址。
  3. 在“监视”下,选择“指标”。
  4. 选择“添加指标”,然后选择“范围”。
  5. 在“选择范围”菜单中选择“订阅”,其中包含要记录的公共 IP 地址。
  6. 为“资源类型”选择“公共 IP 地址”,并选择要为其记录指标的特定公共 IP 地址,然后选择“应用”。
  7. 在“指标”下选择所选指标,然后在“聚合”下选择类型为“最大值”。

备注

将 DDoS IP 保护从“已启用”更改为“已禁用”时,公共 IP 资源的遥测将不可用。

查看 DDoS 缓解策略

Azure DDoS 防护对要保护的资源的每个公共 IP 地址使用三个自动调整的缓解策略(TCP SYN、TCP 和 UDP)。 这适用于启用了 DDoS 保护的任何虚拟网络。

可以通过选择“入站 SYN 数据包来触发 DDoS 缓解”、“入站 TCP 数据包来触发 DDoS 缓解”,以及“入站 UDP 数据包来触发 DDoS 缓解”指标,从而查看公共 IP 地址指标中的策略限制。 请确保将聚合类型设置为 Max

查看缓解策略的屏幕截图。

查看和平时间流量遥测

请务必关注 TCP SYN、UDP 和 TCP 检测触发器的指标。 这些指标可帮助你了解 DDoS 保护何时启动。 确保这些触发器在没有攻击时反映正常的流量级别。

可以为公共 IP 地址资源创建图表。 此图表中包括数据包计数和 SYN 计数指标。 数据包计数包括 TCP 和 UDP 数据包。 这会显示流量的总和。

查看和平时间遥测数据的屏幕截图。

注意

若要进行公平的比较,需要将数据转换为每秒数据包。 可以通过将看到的数字除以 60 来进行转换,因为该数据表示在 60 秒内收集的数据包数、字节数或 SYN 数据包数。 例如,如果有 91,000 个数据包收集超过 60 秒,则将 91,000 除以 60,以获取大约 1,500 个数据包/秒 (pps)。

验证并测试

要模拟 DDoS 攻击以验证 DDoS 防护遥测,请参阅验证 DDoS 检测

后续步骤

在本教程中,你了解了如何执行以下操作:

  • 配置针对 DDoS 防护指标的警报
  • 查看 DDoS 防护遥测
  • 查看 DDoS 缓解策略
  • 验证和测试 DDoS 防护遥测

要了解如何配置攻击缓解报告和流日志,请继续学习下一个教程。

查看和配置 DDoS 诊断日志记录