我的VMWare ESXi 4服务器似乎处于拒绝服务攻击之下。 我正在向服务器(60 +%)发送大量数据包丢失,并且几乎无法在主机上运行的虚拟机上加载任何服务。
我已经安装了Cacti,但由于攻击无法加载。 我可以通过SSH连接到VMware主机。 是否有任何表扬可以确定攻击来自哪里,或者阻止除我以外的所有IP地址,以便我可以再次加载Cacti进行故障排除?
我尝试了esxcli network firewall get但收到: Unknown Object firewall in namespace network
所有具有networking访问权限的虚拟机都直接连接到互联网,也就是说,面向互联网的虚拟机和路由器之间有一个虚拟的交换机。
编辑: MDMarra有个好主意 :禁用虚拟机所在的vswitch。 但是我无法让vSphere控制台响应足够长的时间来执行此操作。 这可以通过SSH来完成吗?
我首先要说的是打电话给你的数据中心,看他们是否可以用他们的设备来阻止这个有问题的IP。 希望他们的硬件有足够的带宽来处理类似的事情,这样至less可以让你开始正常运行。
ISP无法确定通信的原因,但是他们能够做的是在networking交换机上将分配给该服务器的所有IP地址进行空路由。 然后,我们逐个删除空路由,直到我们确定哪些IP地址被攻击。 一旦目标IP被空路由,问题就消失了,我能够再次访问服务器。
我现在要安装到受影响的虚拟机并启动tcpdump ,然后删除这些虚拟机的空路由。 这将使我能够find攻击的来源IP,在来自它们的stream量进入核心networking之前,可以被我的ISP阻止。
嗅探导线并将stream量过滤到该主机。 tcpdump / wireshark