很久以前,我尝试将您在技术支持中遇到的人归类为三种主要类型之一:调查问题并提出解决方案的人,使用这些解决方案来应对出现的问题的人,以及那些认为他们是调查员,但实际上很糟糕,并且在客户的机器上搞砸了。很快,就满是烂尾了,因为这个人实在是什么都不明白,就这样往前冲。
正是这种“让我们到处乱跑,做任何数据都没有表明的疯狂事情”让我想到了今天的故事。
我正在吃晚饭。我的电话开始响了,我让它转到语音信箱。不管是什么都可以等待。后来,我检查了一些东西,果然,这是我担任系统管理员的一次演出中的新“网站管理员”。他的消息以一种最引人注目的方式开始:“box1 和 box2 都崩溃了”,接着又说了一些废话,然后补充说他已经重新启动了 box2(即使用重置按钮)。
box1 是整个操作的邮件服务器。 box2 是 Web 服务器之一。其中任何一个下降都将是一件大事。尽管如此,我还是没有买。这些东西并没有就这样死去,尤其是在同一时间。
我平静地走回我的家庭办公室,翻到我在 box1 上始终保持登录状态的“工作”会话,然后按 ENTER。它还活着。我打电话给他,他问“box2 怎么样?”,所以我在 Mozilla 的那个盒子上加载了一个网页(是的,这是很久以前的……),这很好。我戳了 box3 以获得良好的效果。这也很好。
后来,我收到了一封有趣的电子邮件。
很抱歉因为所谓的停电而打扰您。网络 1 发生了一些奇怪的事情。当我在网络 2 上获取 IP 地址时,我向(名称)询问了网络 1 上我的工作站的固定 IP。他给了我 xxx16。它连接到 box4 和 box5,但不连接到 box1 和 box2。我使用 xxx1 作为网关。我回到了dhcp,一切都可以再次访问了。明天我会问(名字)这件事。
是的,这个人对他的工作站做了一些事情,最终改变了它的 IP 地址,并且在尝试从它向外连接时,无法连接到我的一些机器。因为他在场而我不在,他找到其中一个并按下前面板上的重置按钮。盒子无缘无故被击中头部。可怜的小盒子。
发生的事情是他被赋予了“中毒”的IP地址。曾几何时,(名字)设置了这个网络扫描东西,它一直在用垃圾填满我的日志。我要求(姓名)取消它,因为我实际上观察了这些东西并且倾向于根据它提供的信号采取行动。 Crapflooding 我的日志使得找到真正疯狂的东西变得更加困难,比如受感染的客户端系统(甚至更糟)。
所以,在他没有让我的机器独处之后,我只是在 box1 和 box2 上过滤掉了他的扫描仪。他可以整天向我射击数据包,然后它们就会掉进钻头桶中。就像,酷,酷,玩得开心。我敢打赌你甚至没有注意到。根据我在防火墙配置文件中的注释,我已经在将近两年前设置了它。
#(两年前的日期):不会停止扫描我的白痴盒子 删除 * xxx16 * * *
当这个“站长”拿到IP地址时,发生这种情况时已经存在的两台机器仍然在用一个非常简单和愚蠢的iptables规则丢弃它。任何在停止扫描的任何时间点“出生”的机器都不会得到规则,因为没有任何东西可以丢弃,这就是为什么 box3、box4 和 box5 的行为方式不同的原因。
让我们来看看。您可以物理访问一堆不属于您的服务器。你对你的工作站做一些事情。接下来您知道的是,您无法从该工作站访问其中一些服务器。您是否撤消对工作站所做的操作?没有。你找到另一台机器了吗?不。你是否要求其他人也尝试击中它?不。您是否尝试跳入正在响应的机器,然后尝试从中戳出其中一台“死机”?不。您是否注意到真正关闭的主机与仅丢弃数据包的主机之间的区别,即路由器无法访问的 ICMP 主机与…您知道,什么都没有?不。
你做什么工作?你让自己进入服务器机房并开始按下前面板的重置按钮,认为它会做一些有用的事情。
需要某种特定的人去做这样的事情。