Сервер ESXi под DoS атака, могу ли я использовать SSH, чтобы определить, откуда? [дубликат]
На этот вопрос уже есть ответ здесь:
- Я нахожусь под DDoS. Что я могу сделать? 5 ответов
Мой сервер VMWare ESXi 4, похоже, подвергся атаке типа «отказ в обслуживании».Я получаю огромную потерю пакетов на сервере (60 +%), и я едва могу загрузить какие-либо службы на виртуальные машины, работающие на хосте.
У меня установлен Cacti, но я не могу его загрузить из-за атаки. Я могу подключиться к хосту VMware по SSH. Могу ли я выполнить какие-либо рекомендации, чтобы определить, откуда исходит атака, или заблокировать все IP-адреса, кроме моего, чтобы я мог снова загрузить Cacti для устранения неполадок?
Я пробовал esxcli network firewall get , но получено: Брандмауэр неизвестного объекта в сети пространства имен
Все виртуальные машины с доступом к сети напрямую подключены к Интернету, то есть между виртуальными машинами, подключенными к Интернету, и маршрутизатором есть виртуальный коммутатор.
РЕДАКТИРОВАТЬ: У MDMarra была отличная идея : отключить vswitch, на котором работают виртуальные машины. Но я не могу заставить консоль vSphere отвечать достаточно долго для этого. Можно ли это сделать через SSH?
Интернет-провайдер не смог определить причину трафика, но он смог выполнить нулевой маршрут для всех IP-адресов, назначенных этому серверу на сетевом коммутаторе. Затем мы один за другим удалили нулевые маршруты, пока не определили, какие IP-адреса подвергались атаке. После того, как целевые IP-адреса были перенаправлены на null, проблема исчезла, и я снова смог получить доступ к серверу.
Теперь я собираюсь подключиться к затронутым виртуальным машинам и запустить tcpdump , а затем удалить нулевые маршруты к этим виртуальным машинам. Это позволит мне найти исходные IP-адреса атаки, которые могут быть заблокированы моим интернет-провайдером до того, как трафик от них попадет в базовую сеть.
Я бы сказал, что в первую очередь нужно позвонить в ваш центр обработки данных и посмотреть, смогут ли они заблокировать вредоносный IP-адрес своим оборудованием. Надеюсь, их оборудование имеет пропускную способность, чтобы справиться с чем-то подобным, что, по крайней мере, позволит вашему начать нормально функционировать.