回答編集履歴
2
tcpdumpの結果の考え方を少し変更
answer
CHANGED
@@ -16,4 +16,4 @@
|
|
16
16
|
|
17
17
|
というように出力されれば、 ICMP の拒否パケットを送信しているのは、 192.0.2.1 だというのがわかります。これがサーバだったり、ファイアウォールだったりします。
|
18
18
|
|
19
|
-
この tcpdump を Data サーバ側と info サーバ側の両方で採取してみて、一致するならデータサーバ側の
|
19
|
+
この tcpdump を Data サーバ側と info サーバ側の両方で採取してみて、一致するならデータサーバ側のサービスが落ちているか攻撃防御機能が働いているかが原因でしょう。一致しないなら、DataサーバのIPが他のサーバと重複しているとか、MACアドレスが重複しているとかで、別のサーバに飛んでいっている可能性があります。
|
1
サービスが落ちている可能性を追記
answer
CHANGED
@@ -1,7 +1,9 @@
|
|
1
1
|
Connection refused は、送信サーバ側が ICMP の port unreachable パケットを受信することによって起こります。誰がこのパケットを送ってくるかというと、相手側サーバか経路途中のファイアウォールです。原因の1位は「ポート番号が間違っている」で、2位は「ファイアウォールで拒否されている」なんですが、大量に負荷をかけているわけでもないのに 7回に1回しか発生しないという状況からこれらが原因ではないでしょう。
|
2
2
|
|
3
|
-
Dataサーバの
|
3
|
+
Dataサーバのサービスがたまに落ちているということはないでしょうか? systemctl や superviserd などで、落ちても自動的に再起動する仕組みを入れてたりすると、こういう現象になるかもです。
|
4
4
|
|
5
|
+
また、DataサーバのIPが他のサーバと重複しているとか、MACアドレスが重複しているとかで、別のサーバに飛んでいっているというようなことはないでしょうか?(とも思いましたが、 EC2 だとそうなりにくいですね)
|
6
|
+
|
5
7
|
---
|
6
8
|
Linux なので、 tcpdump でパケットキャプチャすることで、ICMPを誰が送ってきてるかを探ることはできます。他のサイトから例をコピペしますが、
|
7
9
|
|