Мой сервер VMWare ESXi 4, похоже, подвергся атаке отказа в обслуживании. Я получаю огромную потерю пакетов на сервере (60 +%), и я едва могу загрузить какие-либо службы на виртуальные машины, работающие на хосте.
У меня установлен Cacti, но я не могу его загрузить из-за атаки. Я могу подключиться к хосту VMware по SSH. Могу ли я выполнить какие-либо рекомендации, чтобы определить, откуда исходит атака, или заблокировать все IP-адреса, кроме моего, чтобы я мог снова загрузить Cacti для устранения неполадок?
Я попытался esxcli network firewall get но получил: Unknown Object firewall in namespace network
Все виртуальные машины с доступом к сети напрямую подключены к Интернету, то есть между виртуальными машинами с выходом в Интернет и маршрутизатором существует виртуальный коммутатор.
РЕДАКТИРОВАТЬ: У MDMarra была отличная идея: отключить vswitch, на котором находятся виртуальные машины. Но я не могу заставить консоль vSphere реагировать достаточно долго для этого. Можно ли это сделать через SSH?
Я бы сказал, что в первую очередь нужно позвонить в ваш центр обработки данных и посмотреть, могут ли они заблокировать нарушающий IP-адрес своим оборудованием. Надеюсь, их оборудование имеет пропускную способность, чтобы справиться с чем-то подобным, что, по крайней мере, позволит вашему начать нормально работать.
Интернет-провайдер не смог определить причину трафика, но он смог выполнить нулевой маршрут для всех IP-адресов, назначенных этому серверу на сетевом коммутаторе. Затем мы один за другим удалили нулевые маршруты, пока не определили, какие IP-адреса подвергались атаке. После того, как целевые IP-адреса были перенаправлены на null, проблема исчезла, и я снова смог получить доступ к серверу.
Я собираюсь подключиться к затронутым виртуальным машинам и запустить tcpdump, а затем удалите нулевые маршруты к этим виртуальным машинам. Это позволит мне найти исходные IP-адреса атаки, которые могут быть заблокированы моим интернет-провайдером до того, как трафик от них попадет в базовую сеть.
Обнюхивайте провод и фильтруйте трафик только к этому хосту. tcpdump / wirehark