契約しているVPSで、Incomingのトラフィックのみ異常に(1M bits/secも)伸びていたので、調べてみた。
.
Muninで見ると「eth0」だけ伸びていたので、ローカルネットワークではなく外部からのようだ。
.
トラフィック量をリアルタイム監視する iftop コマンドでチェック。
VPSの同居人からと思われる複数の不審なアクセス。
.
ついで、tcpdump でパケットをチェック。
ここでも同様に、netbios-ns (UDPポート137) や netbios-dgm (UDPポート138) への膨大なパケットが見つかった。(ホストは一部伏せています)
05:33:28.056477 IP xxxxx.sakura.ne.jp.13564 > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 05:33:28.057673 IP xxxxx.sakura.ne.jp.52109 > 255.255.255.255.netbios-ns: NBT UDP PACKET(137): QUERY; REQUEST; BROADCAST 05:33:29.471984 IP xxxxx.sakura.ne.jp.52075 > 255.255.255.255.netbios-dgm: NBT UDP PACKET(138) 05:33:29.472008 IP xxxxx.sakura.ne.jp.13529 > 255.255.255.255.netbios-dgm: NBT UDP PACKET(138) 05:33:29.477213 IP xxxxx.sakura.ne.jp.52075 > 255.255.255.255.netbios-dgm: NBT UDP PACKET(138) 05:33:29.477499 IP xxxxx.sakura.ne.jp.13529 > 255.255.255.255.netbios-dgm: NBT UDP PACKET(138)
.
「netbios-dgm ポート 138」等で検索してみるとMicrosoft Windowsのネットワーク共有で使われる *1 ものだそうだ。VPSの同居人が、むりやりWindowsをインストールして使っているのかもしれない。
元々このVPSはかなり余裕がある状態だったので、体感できるほどのパフォーマンス低下などはなかったが、このパケットでCPU使用率のSteal値が僅かに上がっていた。
サポートに連絡して翌日には対応済みとの返事があり、問題は解消された。
.
.
0 件のコメント :
コメントを投稿