我的 Nexus 1000v 安装已经运行了一年多,没有任何问题。
最近我注意到我每隔几分钟就会在 CLI 上收到一条警告。
2015 Sep 7 15:13:53 n1kv ipqosmgr[3116]: %IPQOSMGR-4-QOSMGR_WARNING_MSG: Session error status from PPF for client: 0xff01022c, node_id: 0x0, status: 0x41170014 0
2015 Sep 7 15:20:33 n1kv ipqosmgr[3116]: %IPQOSMGR-4-QOSMGR_WARNING_MSG: Session error status from PPF for client: 0xff01022c, node_id: 0x0, status: 0x41170014 0
搜索此警告未产生任何结果。只有关于 Nexus 5000 系列的思科手册,它提到不需要任何操作。
即使这没什么好担心的,问题仍然存在!
该警告是什么意思,为什么现在开始?
我有一些设备将很快转移到新的数据中心。
在当前的数据中心,交换机安装在机架的背面,因此与机架上的其他设备相比,交换机的气流是反向的。
由于在新的数据中心他们严格遵循冷/热通道设置,我被要求移动机架前面的开关,这需要更多的停机时间,我希望尽可能避免。
这些交换机是标准的 Cisco Catalyst 2960(G)。
是否可以反转交换机的气流,以便仍然可以留在机架背面?
风扇和IOS是否支持这样的东西,或者如果我将风扇反向安装在机箱上,可以吗?
最近几天,我注意到一些服务器受到未知请求的冲击。
它们中的大多数如下所示:
60.246.*.* - - [03/Jan/2015:20:59:16 +0200] "GET /announce.php?info_hash=%80%85%8e%9bu%cfJ.%85%82%e9%25%bf%8e%9e%d7%bf%c5%b0%12&peer_id=-UT3420-v%8bN%aa%60%60%fd%5d%d1%b0Ux&port=15411&uploaded=48588531&downloaded=0&left=0&corrupt=0&key=9E124668&numwant=200&compact=1&no_peer_id=1 HTTP/1.1" 200 -
经过一些记录和搜索后,我发现一些中国 ISP(根据 whatsmydns.net 的结果可能是 CERNET)和一些土耳其 ISP(可能是 TTNET)响应 dns 查询,例如a.tracker.thepiratebay.org使用与 piratebay 无关的各种 IP或种子。换句话说,他们似乎出于某种奇怪的原因进行了某种 DNS 缓存中毒。
因此,这些国家/地区的数百个(如果不是数千个)bittorrent 客户端向我的网络服务器发出大量“通知”,这几乎导致 DDoS 攻击填满了所有 Apache 的连接。
目前我完全屏蔽了中国和土耳其,它确实有效,但我想找到一种更好的方法来屏蔽这些请求。
我正在考虑使用基于 HTTP Host 标头的 mod_security 阻止这些请求。
所有这些请求都包含一个 HTTP Host 标头,例如a.tracker.thepiratebay.org(或 thepiratebay.org 域的许多其他子域)。
这是通过 PHP$_SERVER变量转储的请求标头。
DOCUMENT_ROOT: /usr/local/apache/htdocs
GATEWAY_INTERFACE: CGI/1.1
HTTP_ACCEPT_ENCODING: gzip
HTTP_CONNECTION: Close
HTTP_HOST: a.tracker.thepiratebay.org
HTTP_USER_AGENT: uTorrent/342(109415286)(35702)
PATH: /bin:/usr/bin
QUERY_STRING: info_hash=%80%85%8e%9bu%cfJ.%85%82%e9%25%bf%8e%9e%d7%bf%c5%b0%12&peer_id=-UT3420-v%8bN%aa%60%60%fd%5d%d1%b0Ux&port=15411&uploaded=48588531&downloaded=0&left=0&corrupt=0&key=9E124668&numwant=200&compact=1&no_peer_id=1
REDIRECT_STATUS: 200
REMOTE_ADDR: 60.246.*.*
REMOTE_PORT: 3445
REQUEST_METHOD: GET
REQUEST_URI: /announce.php?info_hash=%80%85%8e%9bu%cfJ.%85%82%e9%25%bf%8e%9e%d7%bf%c5%b0%12&peer_id=-UT3420-v%8bN%aa%60%60%fd%5d%d1%b0Ux&port=15411&uploaded=48588531&downloaded=0&left=0&corrupt=0&key=9E124668&numwant=200&compact=1&no_peer_id=1
SCRIPT_FILENAME: /usr/local/apache/htdocs/announce.php
SCRIPT_NAME: /announce.php
SERVER_ADDR: *.*.*.*
SERVER_ADMIN: *@*.*
SERVER_NAME: a.tracker.thepiratebay.org
SERVER_PORT: 80
SERVER_PROTOCOL: HTTP/1.1
SERVER_SIGNATURE:
SERVER_SOFTWARE: Apache/2.2.29 (Unix) mod_ssl/2.2.29 OpenSSL/1.0.1e-fips mod_bwlimited/1.4 mod_perl/2.0.8 Perl/v5.10.1
UNIQUE_ID: VKg8BJBMIPQAD01XYzgAAAAD
PHP_SELF: /announce.php
REQUEST_TIME_FLOAT: 1420311556.43
REQUEST_TIME: 1420311556
argv: Array
argc: 1
所以我的问题是,如何根据请求域(HTTP 主机标头)阻止对 Apache 的传入请求?请记住,请求在各种 URL 上,而不仅仅是 /announce.php,因此通过 URL 阻止是没有用的。
这种方法是否可行,或者它会导致过多的负载,我应该在它们到达 Apache 之前继续丢弃这些请求?
事实证明,这个问题已经影响了全球许多国家的许多人。
有很多关于它的报告和博客文章以及阻止这种流量的各种解决方案。
我收集了一些报告来帮助任何来这里寻找解决方案的人来阻止这个。
神秘的误导中文流量:如何找出一个HTTP请求使用的DNS服务器?
奇怪的 Bittorrent 登录我的服务器
http://blog.devops.co.il/post/108740168304/torrent-ddos-attack
https://www.webhostingtalk.com/showthread.php?t=1443734
http://torrentfreak。 com/zombie-pirate-bay-tracker-fuels-chinese-ddos-attacks-150124/
https://isc.sans.edu/forums/diary/Are+You+Piratebay+thepiratebayorg+Resolving+to+Various+Hosts/ 19175/
http://furbo.org/2015/01/22/fear-china/
http://www.jwz.org/blog/2015/01/chinese-bittorrent-the-gift-that-keeps-on-给予/
有没有一种方法可以测量每个 VM 的每月流量,而无需在每个 VM 上直接访问(例如:SNMP)?
我知道有 VMware vCenter Chargeback Manager 软件声称可以提供这种类型的测量,但这并不是我们所需要的(而且似乎没有公开的演示可供试用)。
理想情况下,通过 vCenter 涉及 SNMP 的解决方案将是最好的,这样我们就可以与我们现有的统计系统集成。或者像 Cisco Catalyst 交换机那样通过 SNMP 提供端口统计信息。
但由于很可能不会有这样的解决方案(至少这是我所有的谷歌搜索似乎都建议的),所以任何实现这一目标的方向(也许是通过 API?)都会受到欢迎。
我们使用的是 ESXi 5.5、vCenter 5.5 和虚拟分布式交换机。尽管我们无法访问数据中心上的网关路由器。这是由数据中心本身管理的。
更新:
ESXi 主机连接的公共交换机 (c2960G) 是我们的,但由数据中心 netadmin 管理(我来公司时就发现了)。所以目前我无法访问它。
公共互联网的网关路由器是数据中心的,由它们管理。也无法访问它。
如果有帮助,我们可以安排访问我们的公共交换机。
数据中心每月通过交换机(在上行链路端口)上的 SNMP测量我们的总流量。