我的 VMWare ESXi 4 服务器似乎遭受了拒绝服务攻击。服务器出现大量数据包丢失(60% 以上),并且几乎无法在主机上运行的虚拟机上加载任何服务。
我安装了 Cacti,但由于受到攻击而无法加载。我可以通过 SSH 进入 VMware 主机。我可以运行任何命令来确定攻击来自何处,或者阻止除我的 IP 地址之外的所有 IP 地址,以便我可以再次加载 Cacti 进行故障排除吗?
我尝试过esxcli network firewall get
,但收到:Unknown Object firewall in namespace network
所有具有网络访问权限的虚拟机都直接连接到互联网,也就是说,面向互联网的虚拟机和路由器之间有一个虚拟交换机。
编辑: MDMarra 有一个好主意:禁用虚拟机所在的 vswitch。但我无法让 vSphere 控制台响应足够长的时间来完成此操作。可以通过 SSH 完成此操作吗?
答案1
我想说,首先要打电话给你的数据中心,看看他们是否能用他们的设备阻止有问题的 IP。希望他们的硬件有足够的带宽来处理这样的事情,这样至少你的设备就能开始正常运行了。
答案2
ISP 无法确定流量的原因,但他们能够做的是在网络交换机上将分配给此服务器的所有 IP 地址路由为空。然后,我们逐一删除空路由,直到确定哪些 IP 地址受到攻击。一旦目标 IP 被路由为空,问题就消失了,我又可以访问服务器了。
我现在要登录受影响的虚拟机并启动tcpdump
,然后删除到这些虚拟机的空路由。这将使我能够找到攻击的源 IP,我的 ISP 可以在这些 IP 的流量进入核心网络之前阻止这些 IP。
答案3
嗅探线路并过滤到该主机的流量。tcpdump / wireshark