突然ネットワークが重たくなった件

仕事をしていると突然ネットワーク監視サーバーからDownメールが届いた。
ルータやサーバー、ファイアウォールなのでこれは一大事か！？と思いきや、
自席PCでは普通にネットも使えている。

調べていくとDownメールの中身は全てDMZゾーンにあるノードばかり。
これはもしや・・・！？

　 　　　 　 |
   　＼　　__　　／
 　 　＿　（ｍ）　＿  ﾋﾟｺｰﾝ
　 　　　　|ミ|
　 　 ／ 　｀´　 ＼
　　　　　('A`)
　　　　　ノヽノヽ
　　　　　　　くく

はい、外部からの攻撃でした。
バックボーンスイッチにtelnetし、ipfdbを見てみました。

すると出るわ出るわ偽装IPの数々。
その中でも一際目立っていたのが80.12.0.0/16～80.19.0.0/16のセグメント。

普段ipfdbに載ってくる総数は3万程度ですが、6万くらいありました。
しかも今まさに活動中で数分のうちに26万まで膨れ上がる事態。

これはいかんと思い、早速Blackholeに放り込むことに。

BD#configure iproute add blackhole 80.12.0.0/16
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　↓
BD#configure iproute add blackhole 80.19.0.0/16

はい、さようなら～(`Д´)ﾉ~~~

かくして会社のネットワーク環境はいつもの静寂さを取り戻しましたとさ。
ちゃんちゃん(´ω｀)





･･･根本的に解決してないからまた次も同じ目にあうっつーの('A`)

ってことで、パケットキャプチャを仕掛けてみる。
結果、上記セグメントのIPと大量にパケットをやり取りしている機器を特定できた。

某拠点の機器だけどPCではなさそう。（Netbios名が取得できない）

とにかく該当機器のLAN線を抜かなければってことで管轄部署に電話電話電話ヽ(`Д´)ﾉ

担当者に早くLAN線抜けと指示。
LAN線抜いたら折り返しってことになってるけど一向に連絡がこない。

IPアドレスだけじゃどの機器か特定できないのか・・・。
各機器の場所とか押さえてないとかどんだけー(^ω^#)ﾋﾞｷﾋﾞｷ


※追記
結局2時間かかってようやく発見したらしく、無事にLAN線が抜かれました。
該当機器は特殊なPCだったらしく、しかもうちの管轄外のもの。
それをうちのネットワークに繋げるとか、、、誰が許可したんだという問題もあるので、
上層部との話し合いをしなければいけないという･･･。

なのでそのための資料を作らなきゃいけないんだよね。
誰にでも分かるようなレベルで･･･('A`)ﾏﾝﾄﾞｸｾ