本文共 1826 字，大约阅读时间需要 6 分钟。

NSX 6.4.0下DHCP DOS攻击告警问题处理指南

问题背景

随着VMware NSX-v 6.4.0环境的升级，管理员可能会频繁遇到“可能在主机上发生了 DHCP DOS攻击”的告警信息。这些告警虽然当前看起来可能引起担忧，但实际上它们只是NSX Manager对网络流量的异常检测结果，通常不影响实际环境运行。

告警原因

此问题的根源在于NSX-v 6.4.0引入了一项新的安全功能，默认情况下会监控并报告可能的DHCP DOS攻击行为。这种机制可能会在正常的网络环境中触发误报，特别是在涉及多个设备和网络连接的情况下。

典型日志表现

通过查看相关日志，可以获得更多关于告警的信息：

2020-08-17 09:32:24.892 CDT INFO SimpleAsyncTaskExecutor-1 HostEventsResponseHandler:206 
[nsxv@6876 comp="nsx-manager" subcomp="manager"] 
Host event occurred {eventname: DHCP_STARV, eventType: swsec, 
eventdescription: Possible DHCP Dos Attack!,eventdata null, eventTtl null, 
at host: host-141153, at dvPortId 1568, sourceMac 00:50:56:ae:1d:1c,1568, 
occurence 11, at time null}

2020-08-17T04:39:04.957Z cpu21:1579031)WARNING: 
dvfilter-switch-security.throt: SwSecDhcpSnoopTx:600: 
nic-1579030-eth0-dvfilter-generic-vmware-swsec.1: Possible DHCP DosAttack 
on port 50331691(123) 1 times from Mac : 00:50:56:94:0f:69

解决思路与步骤

由于该问题属于NSX 6.4.x的已知问题，目前尚无永久性修复，我们可以采取以下临时措施：

1. 禁用主机告警通知

采取以下步骤禁用告警通知：

• API方法：

• 获取当前主机通知状态：

  GET https://
       
        /api/2.0/hostevents
       

• 禁用主机通知：

  POST https://
       
        /api/2.0/hostevents
       

  • Request Body：

    {
      "_hostEvent": {
        "enabled": false
      }
    }

• CLI方法：

  set host event notification enable/disable -o

2. 验证告警有效性

检查是否有实际DHCP DOS攻击发生，方法如下：

• (console输出检查）：

  net-swsec --host-notifications -o getVMs

  • 若返回受影响VM的DV Port ID，需确认是否存在有效的DDoS攻击。
  • 若无返回数据，说明当前无实际攻击。

如何避免误报

该误报问题源于NSX对高负载或异常流量的过度警觉。在实际环境中，确保以下几点可帮助降低误报风险：

后续建议

通过以上方法，可以有效应对NSX 6.4.0下的DHCP DOS攻击告警问题，避免对正常网络流量造成干扰。随着时间的推移，期望VMware能够对该问题提供 Permanent Fix。