便利ネタ・Tips

職場のネットワークが突然ダウン!?知られざる原因「ミラーポート地雷」とは (MAC flapping)

yasuikj

ネットワークが突然ダウンする原因としてのミラーポート地雷について詳しい解説。MAC Flappingの仕組み、影響、対策をわかりやすく説明します。

ミラーポート地雷

ネットワークダウンの新たな脅威:ミラーポート地雷

「職場のネットワークが突然ダウン!」この記事では、ネットワークダウンの原因としてあまり知られていない「ミラーポート地雷」を詳しく解説します。ミラーポート地雷とは、ミラーポート(ポートミラーリング)設定されたスイッチングハブが引き起こす、ネットワーク全体の障害を指す造語です。この現象はMAC flappingを引き起こし、通信機器の故障や断線とは異なる、新たな脅威となっています。

ミラーポート地雷とブロードキャストストームの違い

重要なのは、ミラーポート地雷がよく知られているループによるブロードキャストストーム1とは異なる事象だということです。ミラーポート地雷は、より巧妙で検出が難しい問題を引き起こします。

本記事では、ミラーポート設定のミスがどのようにしてネットワーク全体をダウンさせるのか、その仕組みと対策を詳しく解説します。ネットワーク管理者だけでなく、一般のオフィスワーカーの方々にも知っておいていただきたい重要な情報です。

それでは、解説していきましょう。ネットワークの基礎知識が無い方には少し難しいかもしれませんが、まずは全体を読んでみてください。同様な現象に遭遇した時に、じっくり読み返すことをおすすめします。

ネットワークの基礎知識:ミラーポートとMAC flapping

ネットワークの仕組みを理解するために、以下の用語を説明します。

ミラーポート(ポートミラーリング)

ミラーポート(ポートミラーリング)は、特定のポートに流れるパケットを別のポートにコピー転送するスイッチの機能です。これにより、パケットを調査したり、侵入検知システムに送信したりすることができます。

ミラーポート(ポートミラーリング)

ミラーポート(ポートミラーリング)

MACアドレステーブル

スイッチは、各ポートの先に接続されたデバイスのMACアドレスを記憶しています。その情報を流れてきたパケット内に記載された宛先MACアドレスと照合し、パケットを適切なポートに転送します。

MACアドレステーブル

MACアドレステーブル

MACフラッピング(MAC flapping)の仕組みと影響

MACフラッピングは、同じMACアドレスからのトラフィックが短時間で異なるポートで検出される現象です。これにより、スイッチのMACアドレステーブルが頻繁に更新され、パケットの正しい転送が妨げられ、ネットワークの安定性が損なわれます。

MACアドレステーブルの頻繁な更新

MACアドレステーブルの頻繁な更新

最も一般的な原因は、ネットワークケーブルの接続ミスによるネットワークループです。この現象が起きると、以下のような問題が発生します:

  1. ネットワークの動作が遅くなる
  2. 接続が不安定になる
  3. 最悪の場合、ネットワーク全体が使えなくなる

本記事で説明する「ミラーポート地雷」は、このMACフラッピングを引き起こす珍しいケースの一つです。

ブロードキャスト

ブロードキャストは、ネットワーク内の全てのデバイスに一斉にパケットを送信する方法です。

ミラーポート地雷によるネットワークダウン:具体的シナリオ

シナリオ概要

  1. 内借さんの行動: パケットキャプチャのために、スイッチAにミラーポート設定を実施し、そのまま機材置き場に戻します。
内借さんの行動

内借さんの行動

  1. 遠西さんの行動: 機材置き場のスイッチAを使用し、フロアのネットワークに接続します。
遠西さんの行動

遠西さんの行動

  1. 八家さんの行動: 遠西さんが設置したスイッチAに自分のPCを接続します。
八家さんの行動

八家さんの行動

発生原因の概要

  1. 内借さんのミラーポート設定: スイッチAのポート4のパケットがポート1にコピーされる設定をしました。
  2. 遠西さんの接続: フロアスイッチのポート4とスイッチAのポート1を接続し、2台のPCをスイッチAのポート2とポート3に接続しました。
  3. 八家さんの接続: スイッチAのポート4にPCを接続しました。

事象の発生

  • サーバから発信されたブロードキャストパケットがフロアスイッチを経由してスイッチAに届くが、スイッチAを通じて折り返されフロアスイッチでMACフラッピングが発生。
MACフラッピング発生時のブロードキャストの流れ(赤矢印)

MACフラッピング発生時のブロードキャストの流れ(赤矢印)

この状態となると、他のホストはサーバと通信ができなくなります。このようにして、ミラーポート地雷はネットワーク全体をダウンさせます。詳しく解説します。

発生原理詳細解説

  1. ミラーポート設定: 内借さんは、機材置き場にあったスイッチAにミラーポート設定をしました。
ポート4からポート1へのミラーポート設定

ポート4からポート1へのミラーポート設定

ポート4に流れるパケットがポート1に転送されるように設定しましたが、これ自体は何も問題ありません。 例えば、サイバーディフェンス研究所ではペネトレーションテストにおけるパケット収集のために、このような設定をしたスイッチを用意することは日常的にあります。 問題は、その後スイッチをそのまま資材置き場に戻してしまったことです。

ミラーポート設定したまま返却

ミラーポート設定したまま返却

  1. 遠西さんの接続: 遠西さんは、フロアスイッチのポート4とスイッチAのポート1を接続し、2つのPCをスイッチAのポート2とポート3に接続しました。
遠西さんがスイッチAをフロアスイッチに接続

遠西さんがスイッチAをフロアスイッチに接続

  • 通常、ネットワークでは、各ホストから1〜3分おきにブロードキャストが発信されています。具体例として、下図 左下のサーバから発信されたブロードキャスト(送信元MACアドレス00:03:93:A1:B2:C3)を例に見てみましょう。フロアスイッチから見た場合、ブロードキャストはポート1に到達するため、MACアドレステーブル00:03:93:A1:B2:C3はポート1と記憶します。その後、ブロードキャストパケットはポート2,3,4から流れ出ます。ポート4からはスイッチAのポート1に送られます。
フロアスイッチでのブロードキャストパケットの流れ(黒矢印)

フロアスイッチでのブロードキャストパケットの流れ(黒矢印)

  • スイッチAのポート1に届いたブロードキャストパケットは、ポート2とポート3から流れ出ます。ポート4には接続先がないためパケットは流れ出ません。この状態だとまだフロアスイッチにMACフラッピングは発生しておらずネットワークは正常に使えています。
スイッチAでのブロードキャストパケットの流れ(黒矢印)

スイッチAでのブロードキャストパケットの流れ(黒矢印)

  1. 八家さんの接続: 八家さんは、自分のPCをスイッチAのポート4に接続しました。
  • ポート4の先にPCが接続されたため、ポート4からブロードキャストが流れ出ます。ポート4から流れ出たパケットは、ミラーポート設定により再びポート1へ折り返されます。
ミラーポート設定によりブロードキャストパケットが折り返される様子(赤矢印)

ミラーポート設定によりブロードキャストパケットが折り返される様子(赤矢印)

  • スイッチAのポート1からフロアスイッチのポート4に、ブロードキャスト(送信元MACアドレス00:03:93:A1:B2:C3)が届くため、フロアスイッチでは、MACアドレステーブル00:03:93:A1:B2:C3はポート4と記憶しなおします。
フロアスイッチのMACアドレステーブルが(ポート1からポート4へ)更新

フロアスイッチのMACアドレステーブルが(ポート1からポート4へ)更新

  • この状態で、任意のホストがサーバ(MACアドレス 00:03:93:A1:B2:C3)と通信を試みます。 下図の例だと、ノートPCから出たパケットはフロアスイッチのポート3までは届き、MACアドレステーブルにサーバのMACアドレス(00:03:93:A1:B2:C3)が記載されたポート4から流れ出ようとしますが、その先にはサーバはいないため通信が行えません。
通信がとどかない状態(赤矢印)

通信がとどかない状態(赤矢印)

以上がミラーポート地雷の原理であり、ほぼネットワーク全体がダウンするのです。

対策

  1. ミラーポートの管理: ミラーポート設定を行った後は、設定を解除し、適切に管理することが重要です。例えば、設定を行ったらメモを残す、ネットワーク管理ツールを使用して設定を追跡するなどの方法があります。またMACアドレステーブルを固定化2するという方法もあります。

  2. 教育: ネットワーク管理者や関係者に対して教育を行い、定期的な研修やマニュアルの整備により、チーム全体でこの問題に対する意識を高めることが重要です。本事象があることを知っておけば、トラブルシューティングの際本事象を疑うことができます。

  3. ネットワーク監視: ネットワーク監視ツールを使用して、異常なトラフィックやMACフラッピングを早期に検出することが重要です。具体的には、SNMPトラップを設定してMACフラッピングを検知したり、ネットワークトラフィックの可視化ツールを導入したりすることで、問題の早期発見と対応が可能になります。

  4. トラブルシューティングの手順: ネットワークが不安定になった場合、スイッチのミラーポート設定を確認します。具体的なチェックリストを作成し、ミラーポート設定の確認をトラブルシューティングの標準手順に組み込みます。また、ネットワークアナライザを使用して異常なトラフィックパターンを分析することで、問題の根本原因を特定しやすくなります。

サイバー攻撃の観点

筆者3は、サイバーディフェンス研究所で活動しており何事もサイバー攻撃に悪用されたらどうなるだろうと考える癖があります。

今回、内借さんのミラーポート設定戻し忘れというシナリオで、ミラーポート地雷を紹介しました。ミラーポート地雷という造語を使ったのは、これがサイバー攻撃に利用される可能性も考慮したことも理由の1つです。

攻撃者が設定をおこなったスイッチを誰かに拾わせるという攻撃が考えられます。

サイバー攻撃という観点からは、拾ったUSBメモリは使わないことが徹底されていますが、出所や内容がわからない機材を使うのは危険という教訓としていただけたらと思います。

もう1つの攻撃としては、認証設定の弱いスイッチに侵入しミラーポート設定をして放置しておくという攻撃も考えられます。

こちらは、ネットワーク機器の認証もしっかり管理することが教訓といえます。

さて、ここまで読んでいただいたサイバーセキュリティに詳しい方であれば、一つの疑問を持つ人がいるかもしれません。 それは、「そもそも、なぜミラーポート先に設定したポートからパケットを受信して通信が行われているのか?これが可能なら、ミラーポートに設定したポートからネットワークへの侵入ができてしまうではないか。高額なスイッチではこのようなことはできないだろう。」という指摘4です。

本記事で紹介した事象は、安価なスイッチで観察されたものです。スイッチの種類や設定によっては、ミラーポートの動作が異なる可能性があります。エンタープライズ向けの高機能スイッチでは、このような問題に対する保護機能が組み込まれていることもあります。

余談ですが、本記事のスイッチはミラーポートでの受信が可能だったわけですが、さらに、ブロードキャストストーム防止のためのSTP機能5はあるもののデフォルト設定は無効でした。いずれも安全面だけを考えれば不思議に感じる方もいるとは思いますが、利便性とコスト効率などを考慮しているのでしょうか?真相は不明です。

まとめ

本記事では、「ミラーポート地雷」という特殊なネットワーク障害について解説しました。主なポイントは以下の通りです:

  • ミラーポート設定の誤用がMAC flappingを引き起こし、ネットワーク全体をダウンさせる可能性がある
  • この問題は一般的なネットワークループとは異なり、検出が難しい
  • 対策として、ミラーポートの適切な管理、教育、ネットワーク監視、トラブルシューティング手順の確立が重要
  • この現象はサイバー攻撃にも悪用される可能性があるため、セキュリティの観点からも注意が必要

同様なネットワーク障害に出会った(今後出会う)方へ、本ブログ記事が、早急にトラブル復旧し、ネットワークの安定性を維持するための一助となれば幸いです。

インフラ管理者の方は、日々このような事象と戦っています。インフラを陰で支える彼らの努力に思いを馳せていただければと思います。

補足:実際の障害対応例:同事象 MAC flapping ミラーポート の解決策を探して本ブログにやってきた方へ

私が初めてこの事象に出会って原因調査をした際に、ググって探しても、ピタリこの事象を解説した情報は見つかりませんでした。冒頭で、「皆様も知らぬうちに経験されているかもしれません。」と記載しましたが、同事象に出会って解決策を探していて本ブログに到達する方もいると思うので少し補足します。

私が事象に出会った時、「ミラーポート設定したスイッチを触ったという情報」、「数分間のパケットキャプチャ」、および「MACフラッピング(mac flapping)のログ」が残っていました。

「mac flapping 原因」等で調べると、代表事例としてネットワークがループすると発生するという情報が見つかりましたが、残念ながら ミラーポート と mac flapping の両者に言及した情報は見つかりませんでした。

ループであればブロードキャストストームが発生し短時間で多量のパケットがキャプチャされているはずですが、多量なパケットはキャプチャされていませんでした。当時は、ミラーポート設定によるパケットキャプチャをしている事はわかっており、そのスイッチを触ったという情報があったため、何かしら悪影響を及ぼしているのだろうと想定し、スイッチをネットワークから外すことで事象が解消しました。

このように、 ミラーポート設定をしたことが分かっていれば、早急な対処が可能だと思うのですが、本稿のシナリオのように知らなかったらどうでしょうか?

上記のような場面を想定すると、事象発生したときに問題解消に至るまでに時間がかかる人は相当数にそうです。

事象に出会った方が、ネットワークダウン、mac flapping の原因の1つに、ミラーポート設定が関係することがあるという知識を持っていれば、迅速な対処が可能となると思い、本稿を公開したものです。

最後の最後に、 本記事では、ミラーポート地雷(mirror port mine)と命名しました。仕組み的には、ミラーポート反射DoS、ポートミラーリング反射DoS(mirror port reflection DoS, port mirroring reflection DoS)攻撃とも命名できます。

  1. ブロードキャストストーム ブロードキャストストームは、ネットワーク内でブロードキャストパケットがループし続け、過剰なトラフィックを生成してネットワーク性能を低下させる現象です。 今時の高額なスイッチングハブは、デフォルトでSTP5が有効になっており、ループ構成になっていてもブロードキャストストームが発生しにくくなっています。 ↩︎

  2. MACアドレステーブル固定化 高額なスイッチであれば、セキュリティ強化のためにMACアドレステーブルを固定化する様々な機能がある場合があります。MACアドレステーブルを固定化しておけばMAC flappingは起こりません。なお、MACアドレステーブルを固定化するかは保守性も考えて決めることを推奨します。接続する機器を別のポートに繋げ変える際や、接続する機器故障でMACアドレスが変更した際にあわせてスイッチの設定もやり直す必要がでてくるため、保守の際に一手間増えます。 ↩︎

  3. 著者 サイバーディフェンス研究所の安井です。OTセキュリティが専門です。OTの範囲にとどまらずネットワーク関連の記事を多く書いています。 ↩︎

  4. 指摘 同僚より指摘されたものです。本記事の事象が発生するスイッチがどの程度存在しているかは申し訳ありませんが確認とれておりません。 ↩︎

  5. STP STP(Spanning Tree Protocol)は、スイッチ間でBPDU(Bridge Protocol Data Unit)と呼ばれる制御フレームを交換することで、ネットワークトポロジを論理的なツリー構造に構成し、ループを防ぐように設計されています。これにより、物理的にはループ構成になっていても、論理的にはループのないトポロジが構築され、ブロードキャストストームを防ぐことができます。これを改良したRSTPやMSTPなどもあります。 ↩︎ ↩︎

© 2016 - 2024 DARK MATTER / Built with Hugo / テーマ StackJimmy によって設計されています。