ブロードキャスト・ストームが発生！

作成日： 2011年10月29日
更新日：（なし）

ブロードキャスト・ストーム

昨日、会社の事務系PCが繋がっているネットワークでブロードキャスト・ストームが発生しました。ブロードキャストのパケットが嵐のごとくネットワーク上に溢れ、正常に通信ができなくなるというアレです。正しくその通りで、始まりの頃、つまり嵐の前触れは何だかブラウザーやらメールやらのレスポンスが悪いという程度のものだったのが、10分もすればゲートウェイにpingが通らない程の暴風雨となりました。

「？」が「★？！○？！％＄！」となったのはタスクマネージャーを見た瞬間でした。画像で赤く囲んでいるところのように帯域使用率が島ハブの上限10Mbps近くで張り付いていました（画像は収束直後のキャプチャーです）。どっこい、そんなに帯域を使うようなことをしている心当たりがありません。その時は真剣に「ウィルスにやられてデータを抜かれてる！？」と思ってアホな感じにテンションが上がってしまいました。

周りがざわざわし始め、様子がおかしいのは自分だけでないことが分かりました。落着いて何の通信が帯域を使っているのか調べようとWiresharkを起動すると、さぁ大変です。 Wiresharkに大量のパケットが流れて来ます。 1秒間に何万というとんでもないアホな量です。

ですが、よく見るとパケットは全く同じものばかりで、そのほとんどがARPのBroadcastフレームで占められています。ここまで来て、やっとブロードキャスト・ストームと紐付いたのでした。

その後、ある会議室でEthernetケーブルがループ結線されたスイッチング・ハブが発見されました。会議の終了後、使ったケーブルを何気なくハブに挿して退室してしまったようです。たった1本のケーブルで40人は接続しているであろうセグメント全体と隣接するルーターを使えなくしてしまった（CPU振り切れ）という出来事でした。ケーブルを抜くと、嵐は直ぐに収まったのでした。

ユニキャスト・ストーム

この出来事の少し前に、たまたま出席したある対策検討会議でユニキャスト・ストームなるものを知りました。ブロードキャスト・ストームではなく、ユニキャスト・ストームです。

ユニキャスト・ストームはお客様環境で起きたもので、原因はKVM延長機器でした。 KVM延長機器はキーボード・ビデオ（モニター）・マウスといったKVM機器をコンピューター本体から離して使うためのもので、粉塵が多い製造現場では根強い需要があるそうです。粉塵により故障し易いコンピューター本体は粉塵が少ない別室に配置し、KVM機器のみを製造現場に残して、両者をKVM延長機器を介することで接続するという使い方です。

このKVM機器は大抵どのメーカーのものでも送信機（トランスミッター）と受信機（レシーバー）から構成されています。製品によっては送信機と受信機との距離を約500mまで延ばせるものもあるようです。送信機と受信機の間は専用ケーブルではなくて、安価でどこにでもあるEthernetケーブルを使用するのが特徴です。接続構成としては以下のようになります。

　　　　KVM機器 <-> 送信機 <-> Ethernetケーブル <-> 受信機 <-> コンピューター本体

さて、ここからが核心です。どうやらこの手の機器は固定のMACアドレスを使って相手と通信するようなのです。送信機と受信機はあらかじめ組み込まれた相手のMACアドレス宛にひたすら通信するというもので、機器としてIPアドレスを設定する機能はありません。問題となる動作は相手が居ようが居まいが固定のMACアドレス宛にユニキャストのフレームを送り続ける点です。

左図のように送信機をハブ（スイッチング・ハブ）に繋ぐと、受信機宛のユニキャスト・フレームを送信し始めます。しかしながら、受信機が繋がれていない状態では各ハブのARPテーブルに受信機のMACアドレスが登録されていないので、ハブは全ポートにフレームを転送します。この処理はフラッディングと呼ばれ、ブロードキャスト・フレームと同じような動作となります。後はブロードキャスト・ストームと同じように転送が増幅されて大嵐状態に陥ります。

といった具合でお客様環境ではユニキャスト・ストームが発生したそうです。対策検討会議ではハブがCiscoのCatalystなので、そのCatalystのストーム・コントロール機能を使った防止策を講じましょうという話がされていました。そもそも、このようなKVM機器は通常のIPベースのスイッチ・ネットワークに接続するものではないものの、エンド・ユーザーが繋いでしまったそうです。こちらもたった1台の周辺機器が大規模な通信障害を起こしてしまったという怖い話でした。

更新履歴

更新日	更新内容
2011年10月29日	新規作成