EMCIsilon的數(shù)據(jù)是如何恢復(fù)的

今天就跟大家聊聊有關(guān)EMC Isilon的數(shù)據(jù)是如何恢復(fù)的，可能很多人都不太了解，為了讓大家更加了解，小編給大家總結(jié)了以下內(nèi)容，希望大家根據(jù)這篇文章可以有所收獲。

成都創(chuàng)新互聯(lián)專注為客戶提供全方位的互聯(lián)網(wǎng)綜合服務(wù)，包含不限于做網(wǎng)站、網(wǎng)站建設(shè)、大柴旦網(wǎng)絡(luò)推廣、重慶小程序開發(fā)、大柴旦網(wǎng)絡(luò)營銷、大柴旦企業(yè)策劃、大柴旦品牌公關(guān)、搜索引擎seo、人物專訪、企業(yè)宣傳片、企業(yè)代運營等，從售前售中售后，我們都將竭誠為您服務(wù)，您的肯定，是我們最大的嘉獎；成都創(chuàng)新互聯(lián)為所有大學(xué)生創(chuàng)業(yè)者提供大柴旦建站搭建服務(wù)，24小時服務(wù)熱線：13518219792，官方網(wǎng)址：muchs.cn

【故障描述】

    某大學(xué)因黑客入侵，導(dǎo)致其“教學(xué)系統(tǒng)”的重要數(shù)據(jù)被刪除。其中包括“教學(xué)系統(tǒng)”中的MSSQL數(shù)據(jù)庫，以及大量的MP4、ASF和TS類型的視頻教學(xué)文件。整體存儲架構(gòu)采用EMC高端網(wǎng)絡(luò)NAS（Isilon S200），節(jié)點數(shù)量為3個，每個節(jié)點配置12塊3T STAT硬盤，無SSD。所有數(shù)據(jù)一共分兩部分，一部分數(shù)據(jù)為vmware虛擬機（WEB服務(wù)器），通過NFS協(xié)議共享到ESX主機，另一部分數(shù)據(jù)為視頻教學(xué)文件，通過CIFS協(xié)議共享給虛擬機（WEB服務(wù)器）。黑客只刪除了NFS共享的所有數(shù)據(jù)（也就是所有虛擬機），而CIFS共享的數(shù)據(jù)則沒有被刪除。

【數(shù)據(jù)備份】

因考慮到數(shù)據(jù)安全性，避免對數(shù)據(jù)造成二次破壞，需對所有硬盤進行全部備份。但是由于磁盤數(shù)量太多（單節(jié)點12塊盤，3個節(jié)點36塊盤），且單盤容量太大（單盤3TB，一共108TB），因此備份周期會較長。最終客戶決定，只對存儲中現(xiàn)有數(shù)據(jù)進行備份，并且由北亞備份一次，客戶再備份一次，以確?，F(xiàn)有數(shù)據(jù)安全。

【數(shù)據(jù)分析】

備份完所有數(shù)據(jù)后，在Isilon的web管理界面中將Isilon正常關(guān)機。再將所有節(jié)點上的所有硬盤貼上標(biāo)簽，并依次取出再放到北亞提供的數(shù)據(jù)恢復(fù)平臺中，開始分析所有硬盤中的數(shù)據(jù)。

 至此先簡單介紹一下Isilon的存儲結(jié)構(gòu)，Isilon內(nèi)部使用的是分布式文件系統(tǒng)OneFS。在Isilon存儲集群中，每個節(jié)點都是一個單一的OneFS文件系統(tǒng)，因此Isilon支持橫向擴展，并且不會影響正在使用的數(shù)據(jù)。在存儲集群工作時，所有節(jié)點提供相同的功能，節(jié)點與節(jié)點之前沒有主備之分。當(dāng)用戶往存儲集群中存儲文件時，OneFS層會將文件分成128K的片段分別存到不同的節(jié)點中，而在節(jié)點層又會將128K的片段分成8K的小片段分別存到該節(jié)點的不同硬盤中。而用戶文件的Indoe信息、目錄項及數(shù)據(jù)MAP則會分別存儲在所有節(jié)點中，這樣可以確保用戶不管從那個節(jié)點都可以訪問到所有數(shù)據(jù)。Isilon在初始化時會讓用戶選擇相應(yīng)的存儲冗余模式，不同的冗余模式所提供的數(shù)據(jù)安全級別也不一樣（默認3個節(jié)點采用N+2:1模式）。

由于客戶數(shù)據(jù)是被刪除了，因此不用過多考慮存儲的冗余級別，重點需要分析文件刪除后，文件Indoe及數(shù)據(jù)MAP是否發(fā)生變化。和客戶溝通后，刪除的虛擬磁盤文件都在64G或以上，并且存儲中沒有其他類型的大文件。編寫掃描所有文件Indoe的程序，將文件大小符合64G或以上的Indoe都掃描出來。再仔細分析掃描出來的Indoe，發(fā)現(xiàn)Indoe中記錄的數(shù)據(jù)MAP位置，其index指向的內(nèi)容已不再是正常數(shù)據(jù)，并且所有節(jié)點上的Indoe均是同樣的情況。再仔細分析Inode，發(fā)現(xiàn)大文件的數(shù)據(jù)MAP會有多層（樹結(jié)構(gòu)）,并且數(shù)據(jù)MAP中會記錄文件的唯一ID，因此可以嘗試找到文件最底層的數(shù)據(jù)MAP。抱著僥幸心理對文件最底層的數(shù)據(jù)MAP做遍歷跟蹤操作，發(fā)現(xiàn)最低層的數(shù)據(jù)MAP果然還在。

【數(shù)據(jù)恢復(fù)分析步驟】

    1、編寫程序，從文件的Inode中取出文件的唯一ID，然后對所有符合該ID的數(shù)據(jù)MAP做聚合。并根據(jù)數(shù)據(jù)MAP中的VCN號做排序，發(fā)現(xiàn)每個文件的前17088項數(shù)據(jù)MAP都不存在，也就意味著每個文件的前17088項數(shù)據(jù)是真的沒辦法恢復(fù)了（心情一下跌落低谷）。

   2、仔細換算了一下發(fā)現(xiàn)丟失的數(shù)據(jù)MAP項總共才包含不到1G的數(shù)據(jù)，而刪除的文件全是虛擬機的vmdk文件，里面都是NTFS的文件系統(tǒng)，而NTFS文件系統(tǒng)的MFT基本都在3G的位置，也就是只需要在每個vmdk文件的頭部手動偽造一個MBR和DBR就可以解釋vmdk里面的數(shù)據(jù)了（真不知到是巧合呢！還是巧合呢！）。趕緊編寫代碼，對掃描到的數(shù)據(jù)MAP做解釋，并根據(jù)VCN號的順序?qū)С鰯?shù)據(jù)，沒有MAP的情況保留為零。

    3、經(jīng)過不斷的測試，程序終于編好了，先導(dǎo)出一個vmdk文件來看看。結(jié)果令我大吃一驚，導(dǎo)出的vmdk文件比實際情況要小，并且vmdk中MFT的位置也與自身描述不符。是程序的問題？還是數(shù)據(jù)MAP本身已損壞？手動隨機驗證了幾個MPA發(fā)現(xiàn)都能指向數(shù)據(jù)區(qū)，而程序解釋MAP的方式也都沒有問題。就在我百思不得其解的時候，我突然想到Isilon這么高端的存儲不可能沒有文件稀疏吧！否則空間得浪費多少啊！立馬根據(jù)數(shù)據(jù)MAP驗證了一下，發(fā)現(xiàn)文件果然是稀疏的。

   4、修改代碼，重新導(dǎo)出剛才的vmdk，這次vmdk大小符合實際大小，且MFT的位置也在相應(yīng)位置。手工偽造一個MBR，分區(qū)表以及DBR，再用北亞開發(fā)的文件系統(tǒng)解釋工具成功解釋其文件系統(tǒng)，導(dǎo)出vmdk里面的數(shù)據(jù)庫及視頻文件。

5、在驗證了此vmdk中的數(shù)據(jù)庫及視頻文件沒問題后，批量導(dǎo)出所有重要的vmdk文件，再手工一個一個的去修改每個vmdk文件。

看完上述內(nèi)容，你們對EMC Isilon的數(shù)據(jù)是如何恢復(fù)的有進一步的了解嗎？如果還想了解更多知識或者相關(guān)內(nèi)容，請關(guān)注創(chuàng)新互聯(lián)行業(yè)資訊頻道，感謝大家的支持。

文章題目：EMCIsilon的數(shù)據(jù)是如何恢復(fù)的
網(wǎng)站網(wǎng)址：http://muchs.cn/article48/ihpdep.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站策劃、App開發(fā)、手機網(wǎng)站建設(shè)、App設(shè)計、域名注冊、移動網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時需注明來源： 創(chuàng)新互聯(lián)