Topネットワーク  > 2007年10月21日

« 電動ハンマードリルのバッテリー交換と充電器の改良 | | 送信ドメイン認証(Sender ID/SPF)の設定 »

会社でファイル共有ソフトはバレますよ

P2P型ファイル共有ソフトが原因で社内ネットワークが停滞した事例の紹介です。

長野に本社兼工場があって、東京・大阪・福岡に営業所があるお客さんです。営業所から本社へスター状にインターネットVPNを構築していて、インターネットにはすべてフレッツ等のFTTHで接続しています。

ネットワーク構成 概要

夕方担当の方から電話がありました。今日の昼ぐらいからインターネット接続が極端に遅くなったそうです。営業所から、本社のLANディスクへのアクセスもできない状況とのこと。
本社から同じセグメントのLANディスクには、問題なくアクセスできるそうです。

インターネットへのWeb、メールともに駄目なことから、プロバイダーもしくは、ルータの障害ではないかと、担当の方は話してました。
クライアントPCからルータまでのpingをしてもらったところ、最初の一発目はtime outになったそうですが、2発目からは、返答があるとのこと。
ルータのsyslogをwebブラウザーから見てもらいましたが、syslogを見る画面までたどり着けずにタイムアウトとなってしまいました。
ルータのスローダウンかな?という気がしたので、ルータの電源をOFF/ONしてもらいました。

ルータ起動後、5分程度は、まともに使えていたのですが、その後またまた、インターネットへの接続が極端に遅くなってしまうとのこと。
ルータの再起動を何度かしてみましたが、改善されないようなので、翌日代替えのルータを持ってお伺いすることに。

翌日、朝からの状況を聞いてみましたが、やはり今日も駄目だそうです。
片道2時間のドライブで、お昼に到着。早々ルータの設置してある会議室に。ルータに接続されている親L2スイッチを見て、おかしいなぁと思いました。ルータとA部署のポートのアクティブインジケータが止まることなくチカチカしてました。もちろんルータのLAN・WANともにインジケータがチカチカと。
A部署のどなたかが、ウィルス(あるいはそのたぐい)に感染したか、どでかいファイルのダウンロードをしてるか、ファイル共有の3択です。
このユーザさんは、IPアドレスをすべて固定で割り当てているので、IPアドレスを特定すれば、クライアントも限定できます。
早速ルータと親L2スイッチの間にリピータHubをかまして、持参のノートPCで、パケットキャプチャしました。

Wiresharkのサマリー画面

パケットキャプチャリングソフトは、フリーで定番のWireshark(Ethereal)です。
うわ~、IPアドレス192.168.1.129のパケットだらけです。相手先は20箇所くらい。tcpソースポートとディスティネーションポートともに、ウェルノンポートではないから疑わしきは、ファイル共有ソフトです。
つらつら見ると上位層のプロトコルを判定してくれてます。「Gnutella」だそうで。検索サイトにお伺いをかけたところ、Wikipedia様が1位にヒット。P2P型ファイル共有ソフトだそうです。恥ずかしながら、Gnutellaは、この時初めて知りました。

さて、原因がわかったら、次に探すは、使用者です。IPアドレス割り当て表から、すぐにお名前判明。クライアントPCは、個人持込のmacでした。この使用者さんは厳重注意となりました。公務員だったら減給もんです。

わたし的には、どんなもんをP2Pしてたのかが一番興味のあるところだったんですが、そこは追求しないで終わってしまいました。

 

IT工房にんにく庵関連ページ

 

トラブル対応

コメントを投稿

検索


Feed

Really Simple Syndication 2.0 The Atom Syndication Format Really Simple Discoverability