大家好,最近想和大家聊聊虚拟化技术,今天先来跟大家分享关于一次xenserver虚拟机受到异常攻击的故障。
现象:
前几天在研发环境的接入交换机突然发现有异常的大流量情况,但一时间没有很好的外部抓包工具,可以马上呈现五元组,所以考虑第一时间将异常主机封阻。
解决思路:
1、通过交换机端口监控,查询到有异常流量的xenserver宿主机;
2、登录宿主机进行流量分析,通过命令,sar –n DEV 1 4,抓包确认vif编号;
3、根据vif寻找攻击机,ovs-vsctl list interface vif50.1,查找到vif的uuid和VMuuid;
4、解绑vif