자습서: Azure DDoS 보호 원격 분석 보기 및 구성

  • 아티클

이 자습서에서는 다음 작업을 수행하는 방법을 알아봅니다.

  • Azure DDoS Protection 원격 분석 보기
  • Azure DDoS Protection 완화 정책 보기
  • Azure DDoS Protection 원격 분석 유효성 검사 및 테스트

Azure DDoS Protection은 DDoS 공격 분석을 통해 공격 패턴에 대한 심층적인 인사이트와 시각화를 제공합니다. 보고서 및 흐름 로그를 통해 고객에게 공격 트래픽 및 완화 작업에 대한 포괄적인 표시 여부를 제공합니다. DDoS 공격 중에 Azure Monitor를 통해 자세한 메트릭을 사용할 수 있으며, 이러한 메트릭을 기반으로 경고 구성도 가능합니다.

필수 조건

  • Azure 구독이 없는 경우 시작하기 전에 체험 계정을 만듭니다.
  • 이 자습서의 단계를 완료하려면 먼저 DDoS 시뮬레이션 공격을 만들어 원격 분석을 만들어야 합니다. 원격 분석 데이터는 공격 중에 기록됩니다. 자세한 내용은 시뮬레이션을 통해 DDoS Protection 테스트를 참조하세요.

Azure DDoS Protection 원격 분석 보기

공격에 대한 원격 분석이 Azure Monitor를 통해 실시간으로 제공됩니다. TCP SYN용 완화 트리거인 TCP 및 UDP는 편한 시간에 사용할 수 있지만, 다른 원격 분석은 공용 IP 주소가 완화된 경우에만 사용할 수 있습니다.

세 가지 리소스 종류인 DDoS 보호 계획, 가상 네트워크, 공용 IP 주소를 통해 보호된 공용 IP 주소에 대한 DDoS 원격 분석을 볼 수 있습니다.

로깅은 Azure Monitor 진단 인터페이스를 통한 고급 분석을 위해 Microsoft Sentinel, Splunk(Azure Event Hubs), OMS Log Analytics, Azure Storage와 추가로 통합될 수 있습니다.

메트릭에 대한 자세한 내용은 DDoS Protection 모니터링 로그에 대한 자세한 내용은 Azure DDoS Protection 모니터링을 참조하세요.

DDoS 보호 계획에서 메트릭 보기

  1. Azure Portal에 로그인하고 DDoS 보호 계획을 선택합니다.

  2. Azure Portal 메뉴에서 DDoS 보호 계획을 선택하거나 검색한 다음, DDoS 보호 계획을 선택합니다.

  3. 모니터링에서 메트릭을 선택합니다.

  4. 메트릭 추가를 선택한 다음, 범위를 선택합니다.

  5. 범위 선택 메뉴에서 로그하려는 공용 IP 주소가 포함된 구독을 선택합니다.

  6. 리소스 종류에 대해 공용 IP 주소를 선택한 다음, 메트릭을 로그하려는 특정 공용 IP 주소를 선택한 후 적용을 선택합니다.

  7. 메트릭DDoS 공격 진행 여부를 선택합니다.

  8. 집계 유형을 최대로 선택합니다.

    DDoS 보호 메트릭 메뉴를 만드는 스크린샷.

가상 네트워크에서 메트릭 보기

  1. Azure Portal에 로그인하고 DDoS 보호가 사용으로 설정된 가상 네트워크로 이동합니다.

  2. 모니터링에서 메트릭을 선택합니다.

  3. 메트릭 추가를 선택한 다음, 범위를 선택합니다.

  4. 범위 선택 메뉴에서 로그하려는 공용 IP 주소가 포함된 구독을 선택합니다.

  5. 리소스 종류에 대해 공용 IP 주소를 선택한 다음, 메트릭을 로그하려는 특정 공용 IP 주소를 선택한 후 적용을 선택합니다.

  6. 메트릭에서 선택한 메트릭을 선택한 다음, 집계에서 Max 형식을 선택합니다.

    Azure 내의 DDoS 진단 설정 스크린샷.

참고 항목

IP 주소를 필터링하려면 필터 추가를 선택합니다. 속성에서 보호된 IP 주소를 선택하고 연산자를 =로 설정해야 합니다. 에는 Azure DDoS Protection을 사용하여 보호되는 가상 네트워크와 연결된 공용 IP 주소의 드롭다운이 표시됩니다.

공용 IP 주소에서 메트릭 보기

  1. Azure Portal에 로그인하고 공용 IP 주소로 이동합니다.
  2. Azure Portal 메뉴에서 공용 IP 주소를 선택하거나 검색하고 선택한 다음, 공용 IP 주소를 선택합니다.
  3. 모니터링에서 메트릭을 선택합니다.
  4. 메트릭 추가를 선택한 다음, 범위를 선택합니다.
  5. 범위 선택 메뉴에서 로그하려는 공용 IP 주소가 포함된 구독을 선택합니다.
  6. 리소스 종류에 대해 공용 IP 주소를 선택한 다음, 메트릭을 로그하려는 특정 공용 IP 주소를 선택한 후 적용을 선택합니다.
  7. 메트릭에서 선택한 메트릭을 선택한 다음, 집계에서 Max 형식을 선택합니다.

참고 항목

DDoS IP Protection을 사용에서 사용 안 함으로 변경하면 공용 IP 리소스에 대한 원격 분석을 사용할 수 없습니다.

DDoS 완화 정책 보기

Azure DDoS Protection은 보호되는 리소스의 각 공용 IP 주소에 대해 자동으로 조정된 세 가지 완화 정책(TCP SYN, TCP 및 UDP)을 사용합니다. 이는 DDoS 보호가 사용하도록 설정된 모든 가상 네트워크에 적용됩니다.

DDoS 완화를 트리거하는 인바운드 SYN 패킷, DDoS 완화를 트리거하는 인바운드 TCP 패킷DDoS 완화를 트리거하는 인바운드 UDP 패킷 메트릭을 선택하여 공용 IP 주소 메트릭 내의 정책 제한을 확인할 수 있습니다. 집계 유형을 최대로 설정했는지 확인합니다.

완화 정책을 보는 스크린샷.

평시 트래픽 원격 분석 보기

TCP SYN, UDP 및 TCP 검색 트리거에 대한 메트릭을 계속 주시해야 합니다. 이러한 메트릭은 DDoS 보호가 시작되는 시기를 파악하는 데 도움이 됩니다. 공격이 없을 때 이러한 트리거가 정상적인 트래픽 수준을 반영하는지 확인합니다.

공용 IP 주소 리소스에 대한 차트를 만들 수 있습니다. 이 차트에는 패킷 수 및 SYN 수 메트릭이 포함됩니다. 패킷 수에는 TCP 및 UDP 패킷이 모두 포함됩니다. 트래픽 합계를 보여 줍니다.

편한 시간 원격 분석 보기 스크린샷.

참고 항목

공정한 비교를 위해서는 데이터를 초당 패킷 수로 변환해야 합니다. 데이터는 60초 동안 수집된 패킷, 바이트 또는 SYN 패킷 수를 나타내므로 표시되는 숫자를 60으로 나누어 이를 수행할 수 있습니다. 예를 들어, 60초 동안 수집된 패킷 91,000개가 있는 경우 91,000을 60으로 나누면 약 1,500pps(초당 패킷 수)를 얻을 수 있습니다.

유효성 검사 및 테스트

DDoS 공격을 시뮬레이션하여 DDoS 보호 원격 분석의 유효성을 검사하려면 DDoS 탐지 유효성 검사를 참조하세요.

다음 단계

이 자습서에서는 다음 작업 방법을 알아보았습니다.

  • DDoS 보호 메트릭에 대한 경고 구성
  • DDoS 보호 원격 분석 보기
  • DDoS 완화 정책 보기
  • DDoS 보호 원격 분석 유효성 검사 및 테스트

공격 완화 보고서 및 흐름 로그를 구성하는 방법을 알아보려면 다음 자습서를 계속 진행하세요.

DDoS 진단 로깅 보기 및 구성