我的 VMWare ESXi 4 服务器似乎受到拒绝服务攻击。我在服务器上丢失了大量数据包 (60+%),并且几乎无法在主机上运行的 VM 上加载任何服务。
我安装了 Cacti,但由于受到攻击而无法加载它。我可以通过 SSH 连接到 VMware 主机。我可以运行任何命令来确定攻击的来源,或者阻止除我之外的所有 IP 地址,以便我可以再次加载 Cacti 以进行故障排除吗?
我试过esxcli network firewall get但收到:Unknown Object firewall in namespace network
所有具有网络访问权限的 VM 都直接连接到 Internet,也就是说,在面向 Internet 的 VM 和路由器之间有一个虚拟交换机。
编辑: MDMarra 有一个好主意:禁用虚拟机所在的 vswitch。但是我无法让 vSphere 控制台响应足够长的时间来执行此操作。这可以通过 SSH 完成吗?
我想说的首要任务是致电您的数据中心,看看他们是否可以用他们的设备阻止有问题的 IP。希望他们的硬件有足够的带宽来处理类似的事情,这样至少可以让您的硬件开始正常运行。
ISP 无法确定流量的原因,但他们能够做的是在网络交换机上对分配给该服务器的所有 IP 地址进行空路由。然后,我们一个一个地删除空路由,直到我们确定哪些 IP 地址受到攻击。一旦目标 IP 被空路由,问题就消失了,我可以再次访问服务器。
我现在要通过控制台进入受影响的虚拟机并启动
tcpdump,然后删除到这些虚拟机的空路由。这将使我能够找到攻击的源 IP,在它们的流量进入核心网络之前,我的 ISP 可以阻止它们。嗅探线路并过滤到该主机的流量。tcpdump/wireshark