特定の時間になると重くなるのです。どうも、ダムログの時間です。
明日以降の作業に備えて覚え書きです。覚え書きなので、多分何を言っているのか判らないと思います。色々隠してるし(笑)
で、仕事のサーバでの話ですが、特定の時間になるとwebが激しく重くなり、酷いとまったく閲覧ができなくなっていました。まずはネットワークの負荷を疑ってみました。
そこで、MRTGを導入。まずはこれを監視っと。
ところが再起動時にかなりのパケットが出るらしく、グラフがかなり見づらく・・・。ただ時間帯によっては、普段の倍以上のパケットが出ていることがわかり、その時間帯に裏側のシステムではアップロードさせないように制限を掛けました。
しかし、それでも同じ時間になると激しく重い・・・。
じゃ、あとはCPUとメモリを見てみますか、ということでMRTGにCPUとメモリを追加。
まずはCPU。
うー、特に目立って負荷が掛かっていませんねぇ。
じゃ、次はメモリ。
うぉ、なんじゃこりゃ!特定の時間、というかまさにその時間にぐいっとメモリを使ってるんじゃん!
これは酷い。
で、いつぞやのSlammerを疑う事に。サーバ自体には感染は認められず、おそらく外部でSlammerか何かに感染したのが、大量にパケットをこちらに向けているのか・・・。それに「特定の時間」というのがまた怪しさ倍増です。
・・・いや、これってもしかしてポートスキャンじゃね?
という事でnetstatで調べてみると、特定のIPアドレス(中国系)が1433ポート、つまりSQL Serverにアクセスしようとしていることが判明。
しかし、この条件でアクセスを防ぐことがなかなかできない・・・。
で、さらに深く調べてみると、「IPSec を使用して特定のネットワーク プロトコルとポートをブロックする方法」なるものがマイクロソフトより公開されていました。
たぶんコレを実行すれば防げるかも。
ただまずはこの文書の中身を解析せねば・・・。何が書いてあるのか半分も理解できません・・・。
さぁ、闘うぞ!
