山田 英史氏 ディアイティ 技術部長
森 勝氏 サイバーソリューション ソリューション推進室
フィルタリングで必要部分だけを収集
プロトコル・アナライザは,特別な設定を施さなければ,すべてのパケットを丸ごと保存する。場合によっては,データ部分や,障害が起こっていない端末のパケットの分析が有効なこともある。しかし,単純な切り分けでは,余分のデータは不要。関係のないパケットが多数交ざっていると,必要なパケットを抽出する手間もかかる。ほとんどのプロトコル・アナライザは,IPアドレスやプロトコル・タイプなどによるフィルタリング機能を持つ。また設定により,ヘッダー部分だけの保存もできる。B社は,パケット・アナライザの設定を変え,関係する発着IPアドレス以外のパケットは収集しないようにした。同時にIPヘッダーとTCP/UDPヘッダーを取り込み,データ部は廃棄させた。
設定を変えた結果,必要な時間帯のパケットが記録できるようになった。分析の結果,ファイルの転送途中で,一定の長さ以上のパケットを転送するときだけ,TCPレベルでコネクションが異常終了。そのタイミングでパケットを廃棄したという意味のICMPパケットが,VPNゲートウエイからサーバーに送られていた。VPNゲートウエイが一定の長さを超えるパケットを破棄していたのだ。
B社は,応急措置として,サーバー間通信の最大パケット・サイズを小さくした。この処置でファイル転送が途中で止まることはなくなった。
実はB社は,フィルタリング設定の際に,発着IPアドレスに両方のサーバーのアドレスを含むTCPパケットだけを採取するという設定も検討した。ただ,念のため発着IPアドレスのいずれかに,片方のサーバーのアドレスを含むパケットをUDPを含めて採取することにした。
もし厳密にフィルタリングしていたら,ICMPパケットは見つからず,原因の究明に手間取るところだった。フィルタリングはパケットの絞り込みには有効な手段だが,あまり厳密に設定する必要はない。場合によっては,フィルタリングを緩めて,再度採取しなければならなくなることもある。
