大家好,最近想和大家聊聊虛拟化技術,今天先來跟大家分享關于一次xenserver虛拟機受到異常攻擊的故障。
現象:
前幾天在研發環境的接入交換機突然發現有異常的大流量情況,但一時間沒有很好的外部抓包工具,可以馬上呈現五元組,是以考慮第一時間将異常主機封阻。
解決思路:
1、通過交換機端口監控,查詢到有異常流量的xenserver主控端;
2、登入主控端進行流量分析,通過指令,sar –n DEV 1 4,抓包确認vif編号;
![](https://img.laitimes.com/img/__Qf2AjLwojIjJCLyojI0JCLiAnYldHL0FWby9mZvwFN4ETMfdHLkVGepZ2XtxSZ6l2clJ3LcV2Zh1Wa9M3clN2byBXLzN3btgHL9s2RkBnVHFmb1clWvB3MaVnRtp1XlBXe0xCMy81dvRWYoNHLwEzX5xCMx8FesU2cfdGLwMzX0xiRGZkRGZ0Xy9GbvNGLpZTY1EmMZVDUSFTU4VFRR9Fd4VGdsQTMfVmepNHLrJXYtJXZ0F2dvwVZnFWbp1zczV2YvJHctM3cv1Ce-cGcq5SNwkTNxAjMzE2N5IGZlNjMzYzXxADMzETM2EzLclDMyIDMy8CXn9Gbi9CXzV2Zh1WavwVbvNmLvR3YxUjLyM3Lc9CX6MHc0RHaiojIsJye.jpg)
3、根據vif尋找攻擊機,ovs-vsctl list interface vif50.1,查找到vif的uuid和VMuuid;
4、解綁vif