ปัญหาคืออยู่ๆก็มี traffic วิ่งเข้ามาที่ switch จนเต็ม 100Mb ( switch ทำ vlan ไว้ 3 class )
โดย traffic วิ่งไปออกที่ port ที่ต่อเครื่องใน vlan นึง (อีก 2 vlan ปกติ)
ทำการ remote เข้าไปที่เครื่องและทำการ tcpdump ออกมา ได้ผลดังนี้
tcpdump -v -i eth0 -n 3000
05:44:17.414664 IP (tos 0x0, ttl 53, id 63559, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6273788:6275248(1460) ack 1 win 5840
05:44:17.414860 IP (tos 0x0, ttl 53, id 63561, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6276708:6278168(1460) ack 1 win 5840
05:44:17.415055 IP (tos 0x0, ttl 53, id 63562, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6278168:6279628(1460) ack 1 win 5840
05:44:17.415249 IP (tos 0x0, ttl 53, id 63564, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6281088:6282548(1460) ack 1 win 5840
05:44:17.415445 IP (tos 0x0, ttl 53, id 63566, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6284008:6285468(1460) ack 1 win 5840
05:44:17.415639 IP (tos 0x0, ttl 53, id 63567, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6285468:6286928(1460) ack 1 win 5840
05:44:17.415834 IP (tos 0x0, ttl 53, id 63569, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6288388:6289848(1460) ack 1 win 5840
05:44:17.416030 IP (tos 0x0, ttl 53, id 63570, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6289848:6291308(1460) ack 1 win 5840
05:44:17.416224 IP (tos 0x0, ttl 53, id 63572, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6292768:6294228(1460) ack 1 win 5840
05:44:17.416419 IP (tos 0x0, ttl 53, id 63574, offset 0, flags [DF], proto: TCP (6), length: 1500) 27.254.41.52.20422 > 61.19.247.213.35280: . 6295688:6297148(1460) ack 1 win 5840
เท่าที่ดูก็คือมันยิงมาจาก ip 27.254.41.52 (upyim)
http://27.254.41.52/mrtg
ยิงมาที่ ip 61.19.247.213
http://61.19.247.213/mrtg
ปัญหาคือเครื่อง ip 61.19.247.213 อยู่ตู้ใหนก็ไม่รู้ไม่ได้อยู่ในตู้ผม แต่ดันมี traffic วิ่งมาเข้า port ในตู้ผม (ซึ่งมันไม่ควรจะมี) แจ้งไปทาง cslox ก็บอกทำการ block ให้แล้ว แต่แมร่งก็ยังมี traffic ยิงมาที่เครื่อง 213 ทุกวันเหมือนเดิม
แจ้งไปทาง cat ก็บอกแจ้งให้ทางฝ่าย network ตรวจสอบให้ แต่ก็ยังเป็นอยู่อย่างเดิมทุกวัน เท่าที่ไล่เช็คแล้วไม่น่าจะมีปัญหาที่เครื่อง server แน่ๆ เพราะขนาดปิดเครื่องและ restart switch แล้วก็ยังมี traffic วิ่งเข้ามาอยู่ตลอด
ตอนนี้ก็เล็งไปที่ว่า switch ผมมันมีปัญหาอะไรหรือเปล่า หรือว่าเป็นปัญหาจากระบบ network ที่ cat เอง (ปัญหามีมาก่อนที่จะโดนตัดไฟ)
ปล. ถ้าท่านเจ้าของ ip ทั้ง 2 ผ่านมาก็ รู้ไว้ด้วยว่า เครื่องของท่าน ยิง/โดนยิง อยู่ทุกวัน เพียงแต่มันไม่ล่มท่านเลยอาจไม่รู้ตัว