teratail header banner
teratail header banner
質問するログイン新規登録

回答編集履歴

2

tcpdumpの結果の考え方を少し変更

2017/01/16 09:58

投稿

mit0223
mit0223

スコア3401

answer CHANGED
@@ -16,4 +16,4 @@
16
16
 
17
17
  というように出力されれば、 ICMP の拒否パケットを送信しているのは、 192.0.2.1 だというのがわかります。これがサーバだったり、ファイアウォールだったりします。
18
18
 
19
- この tcpdump を Data サーバ側と info サーバ側の両方で採取してみて、一致するならデータサーバ側のファイアウォルや攻撃防御機能が原因でしょう。一致しないなら、DataサーバのIPが他のサーバと重複しているとか、MACアドレスが重複しているとかで、別のサーバに飛んでいっている可能性があります。
19
+ この tcpdump を Data サーバ側と info サーバ側の両方で採取してみて、一致するならデータサーバ側のビスが落ちているか攻撃防御機能が働いているかが原因でしょう。一致しないなら、DataサーバのIPが他のサーバと重複しているとか、MACアドレスが重複しているとかで、別のサーバに飛んでいっている可能性があります。

1

サービスが落ちている可能性を追記

2017/01/16 09:58

投稿

mit0223
mit0223

スコア3401

answer CHANGED
@@ -1,7 +1,9 @@
1
1
  Connection refused は、送信サーバ側が ICMP の port unreachable パケットを受信することによって起こります。誰がこのパケットを送ってくるかというと、相手側サーバか経路途中のファイアウォールです。原因の1位は「ポート番号が間違っている」で、2位は「ファイアウォールで拒否されている」なんですが、大量に負荷をかけているわけでもないのに 7回に1回しか発生しないという状況からこれらが原因ではないでしょう。
2
2
 
3
- DataサーバのIPが他のサーバと重複しているとか、MACアドレスが重複しているとかで、別のサーバ飛んでいっているというようなことはないでしょうか?
3
+ Dataサーバのサースがたま落ちているということはないでしょうか? systemctl や superviserd などで、落ちても自動的に再起動する仕組みを入れてたりすると、こういう現象になるかもです。
4
4
 
5
+ また、DataサーバのIPが他のサーバと重複しているとか、MACアドレスが重複しているとかで、別のサーバに飛んでいっているというようなことはないでしょうか?(とも思いましたが、 EC2 だとそうなりにくいですね)
6
+
5
7
  ---
6
8
  Linux なので、 tcpdump でパケットキャプチャすることで、ICMPを誰が送ってきてるかを探ることはできます。他のサイトから例をコピペしますが、
7
9