Servidor ESXi sob ataque DoS, posso usar o SSH para determinar de onde? [duplicado]

Navegue suas respostas
1

Meu servidor VMWare ESXi 4 parece estar sob um ataque de negação de serviço. Estou recebendo uma grande perda de pacotes para o servidor (60 +%) e mal posso carregar quaisquer serviços nas VMs em execução no host.

Eu tenho o Cacti instalado, mas não consigo carregá-lo devido ao ataque. Eu posso SSH para o host VMware. Há algum elogio que eu possa executar para determinar de onde o ataque está vindo ou bloquear todos os endereços IP, exceto o meu, para que eu possa carregar o Cacti novamente para solucionar problemas?

Eu tentei esxcli network firewall get , mas recebi: Unknown Object firewall in namespace network

Todas as VMs com acesso à rede estão diretamente conectadas à Internet, ou seja, há um comutador virtual entre as VMs com acesso à Internet e o roteador.

EDITAR: MDMarra teve uma ótima idéia : desabilitar o vswitch que as VMs estão ativadas. Mas não consigo fazer com que o console do vSphere responda por tempo suficiente para fazer isso. Isso pode ser feito através do SSH?

    
por Josh 27.07.2012 / 21:05

3 respostas

1

O ISP não foi capaz de determinar a causa do tráfego, mas o que eles conseguiram fazer foi a rota nula de todos os endereços IP atribuídos a esse servidor no comutador de rede. Então, um a um, removemos as rotas nulas, até determinarmos quais endereços IP estavam sendo atacados. Depois que os IPs de destino forem roteados com nulo, o problema desaparece e eu posso acessar o servidor novamente.

Agora, vou consolar nas VMs afetadas e iniciar tcpdump e, em seguida, remover as rotas nulas para essas VMs. Isso permitirá que eu encontre os IPs de origem do ataque, que podem ser bloqueados pelo meu ISP antes que o tráfego deles entre na rede principal.

    
por 28.07.2012 / 03:54
2

Eu diria que em primeiro lugar seria ligar para o seu datacenter e ver se eles podem bloquear o IP ofensivo com seu equipamento. Espero que o hardware deles tenha a largura de banda necessária para lidar com algo assim, o que, pelo menos, permitirá que você comece a funcionar normalmente.

    
por 27.07.2012 / 21:30
0

Sniff o fio e filtre o tráfego apenas para esse host. tcpdump / wireshark

    
por 27.07.2012 / 21:21

Tags

Migrando o Cacti do Windows para o Linux Não é possível instalar o módulo Perl DBD no Ubuntu (para o Bugzilla)