VPSでINのトラフィックだけ急増した

契約しているVPSで、Incomingのトラフィックのみ異常に(1M bits/secも)伸びていたので、調べてみた。

VPS管理画面のトラフィック記録

.
Muninで見ると「eth0」だけ伸びていたので、ローカルネットワークではなく外部からのようだ。

Muninのトラフィック記録

.
トラフィック量をリアルタイム監視する iftop コマンドでチェック。
VPSの同居人からと思われる複数の不審なアクセス。

iftop リザルト

.
ついで、tcpdump でパケットをチェック。
ここでも同様に、netbios-ns (UDPポート137) や netbios-dgm (UDPポート138) への膨大なパケットが見つかった。(ホストは一部伏せています)

05:33:28.056477 IP xxxxx.sakura.ne.jp.13564 > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
05:33:28.057673 IP xxxxx.sakura.ne.jp.52109 > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST
05:33:29.471984 IP xxxxx.sakura.ne.jp.52075 > 255.255.255.255.netbios-dgm: NBT UDP PACKET(138)
05:33:29.472008 IP xxxxx.sakura.ne.jp.13529 > 255.255.255.255.netbios-dgm: NBT UDP PACKET(138)
05:33:29.477213 IP xxxxx.sakura.ne.jp.52075 > 255.255.255.255.netbios-dgm: NBT UDP PACKET(138)
05:33:29.477499 IP xxxxx.sakura.ne.jp.13529 > 255.255.255.255.netbios-dgm: NBT UDP PACKET(138)

.
「netbios-dgm ポート 138」等で検索してみるとMicrosoft Windowsのネットワーク共有で使われる *1 ものだそうだ。VPSの同居人が、むりやりWindowsをインストールして使っているのかもしれない。

元々このVPSはかなり余裕がある状態だったので、体感できるほどのパフォーマンス低下などはなかったが、このパケットでCPU使用率のSteal値が僅かに上がっていた。

CPU UsageのSteal値が上昇

サポートに連絡して翌日には対応済みとの返事があり、問題は解消された。

.
.

0 件のコメント :

PAGE TOP