Firewall不調その後
昨日徹夜してくれた人のおかげで今日はトラフィックは正常。
断片的な情報を総合すると、IPアドレスの大移動があった際、一部の部門で勝手に設置された機器(多分ルータとかサーバとか)の設定が完全でなく、その機器によるパケットピンポンによるものと判明したらしい。
そういうわけでFirewallはシロとの結論となり、問題の機器からのパケットを途中のルータで遮断するという対策となったらしい。
やれやれ。お疲れ様。
と思ったが、ここで疑問がいくつか。
- なぜそんなパケットでFirewallがDDoSになってしまうのか。そうなってしまう前に攻撃と判断して遮断するものじゃないのか。Firewallってのは。ステートフルインスペクションもしおしおだなぁ。(どうも自分自身の吐くログが原因で無応答になってしまっていたらしい。アホか)
- なんでそんな変なパケットがFirewallまで到達したのか。あれだけ大規模なネットワークなら、RIP2とかOSPFとかのルーティングプロトコル使ってたりしないのか?そんなんじゃ防げるわけない?(その方面のプロじゃないからわかんないや)
- つうか、監視結果とかログに出してなかったの?パケットアナライザとか持ち出して調べたらしいけど、なんか豆腐切るのに大なた持ち出してきた感じ。
で、当初から言っていた、
ポリシー削って現象解消したら、ポリシー関係。
消えなかったら異常パケットかルーティング異常。
という予言というか予測は大的中というわけで。そういう直感が働く奴はいないのか。まったく。