Mencari Sumber Serangan DDoS (Distribute Denial of Service) / Flooding dari salah satu host/server yang berjalan di Vsphere Server

Hari ini saya harus mencari sumber DDoS/Flooding dari salah satu server yang running sebagai virtual-machine/host di Vsphere, kendalanya saat ini vlan vcenter dan host di dalam vsphere masih dalam satu vlan, sehingga investigasi harus dilakukan satu persatu di tiap host yang running di vsphere (server fisik), dimana terdapat 3 vsphere yang mejalankan banyak host/server di dalamnya. belajar dari pengalaman tersebut sebaiknya vlan/interface untuk managemen vsphere/vcenter dipisah dengan vlan/interface yang di assign ke host/server.

indikator terjadinya flooding adalah banyaknya traffic dari sumber ip address yang tidak valid (ip tidak aktiv atau blok ip tersebut tidak di assign pada vlan/interfafce yang ada, atau ip tersebut tidak ada mac-address pasangannya di table /ip arp print) , dalam kasus ini traffic mencapai hampir 900mbps sehingga semua transfer data dari dan ke port switch 1gbps yang digunakan server vsphere mengalami intermitten (kemacetan)

karena vlan927 adalah vlan server vsphere dan banyak host/server di dalamnya maka selanjutnya saya login ke vcenter/vsphere satu persatu, dan ditemukan di vsphere2 dari tab Monitor->Performance->Overview->Networks, tercatat traffic yang cukup tinggi mencapai 900mbps, artinya data history utilisasi network di vsphere2 setara dengan utilisasi vlan927 yang terbaca pada router mikrotik yang ditemui adanya anomaly traffic yang sangat tinggi kadang mencapai 900mbps tetapi traffic tersebut hanya diterima (RX) oleh vlan927 lalu tidak di teruskan (TX) ke interface lainnya

selanjutnya satu persatu host di vsphere2 di cek perihal Monitoring->Performance View:Network, dan di dapati host mrtg memiliki pola-traffic dan besar-traffic yang sama dengan pola traffic DDoS/flood tersebut dan setelah dilakukan scan clamav pada host mrtg ternyata ditemukan sebuah Trojan

Dengan demikian maka sumber serangan DDoS/Flood dari salah satu host/server di Vsphere telah ditemukan dan dapat dilakukan tindakan mitigasi yang diperlukan.

semoga bermanfaat bagi yang membaca artikel ini

Informasi Training Mikrotik oleh Trainer Harijanto Pribadi bisa di pantau melalui http://gurumikrotik.com/wp/2019/01/03/pendaftaran-training-mikrotik-dasar-mtcna/

Your email address will not be published. Required fields are marked *