物理环路引起的广播风暴的案例例子例子分析解析.pdf

分析案例 物理环路引起的广播风暴的案例分析 交换以太网络环境中一旦出现物理环路会直接造成网络中出现广播风暴，这是由于广播包会发 送到交换机的各个端口，会由环路循环发送，产生广播风暴，导致整个物理网段的瘫痪。 下面就是一个实际发生的由于物理环路引起的网络瘫痪实例，该网络是一个100M 以太网交换 网络，由多台100M 以太网交换机组成，当时网络性能突然下降，出现严重的丢包现象，网络管理 员利用Sniffer 进行了流量捕获，通过流量分析来分析网络突然瘫痪的原因，以下是实际的分析过程。 1. 总体流量分析 通过对总体流量的分析来确定网络中流量是否异常一般是我们进行分析的第一步，网络链路利 用率过高、网络中数据包数过大都可能使网络性能下降并产生丢包，我们首先通过对捕获到数据包 的统计分析来确定我们捕获的流量的一些总体信息，如下图所示。 图5-28 通过Statistics 分析捕获文件的基本信息 如图5-28 所示，我们通过Statistics 功能了解一下捕获文件中流量的基本信息，我们可以得到 如下基本流量信息。 链路带宽（捕获端口）：100Mbps 1 分析案例 利用率：76% 捕获到的总字节数：5,702,576 捕获到的总数据包数：74,606 每秒钟数据包数：94,797 MAC 广播包数：8,390 MAC 组播包数：66,207 通过这些简单的信息，我们可以得知，捕获到的交换机流量很大，利用率很高，每秒钟数据包 数很高，几乎达到了百兆以太网最大的数据包数，其中广播包和组播包数非常大，几乎所有的数据 包都是MAC 层的广播包和组播包。 显然网络中出现了广播风暴，而且广播包的数量非常大，通过Sniffer 专家系统的智能分析我们 也能清楚地看到这一点，见下图。 图5-29 通过专家系统发现网络中的广播风暴 2. 分析哪些主机大量发送广播数据包 我们需要分析这些广播包是由谁产生的，以及产生广播包的原因。借助Sniffer 的分析功能我们 进行进一步分析。 通过查看数据链路层主机的会话对分析哪些主机在大量发送广播包。 2 分析案例 图5-30 数据链路层会话流量分析 从数据链路层的会话来看，我们发现多个 MAC 地址发送大量广播数据包，其中最多的一台每 秒发送接近90,000 个广播数据包，最少的每秒一台每秒也向网络中发送600 多个广播数据包，较 为异常。 图5-31 网络层会话流量分析 3 分析案例 从网络层的会话分析中看，同样发现多个IP 主机在向组播地址或广播地址发送大量的数据包。 同时多台主机大量发送广播包或组播包是一个很不正常的流量现象，这些主机为什么大量发送 广播包或组播包需要进一步分析。 3. 通过数据包解码进一步了解主机发送的广播包或组播包信息 通过数据包解码，主要是希望了解主机发送这些数据包的真实原因，是主机异常发包还是由于 网络出现环路产生的广播风暴，由于大量的包是广播包，引起广播风暴的原因不是路由环路，很可 能是物理环路引起的，我们可以通过IP 包的ID 值和TTL 值来进行一定判定。如下图所示。 图5-32 解码分析出现大量广播包原因 通过对某台IP 主机发送的广播包的解码分析我们可以看到，这些数据包的ID 相同，TTL 值并 没有减小，数据包间隔时间很短，这些现象是典型的网络中存在物理环路的特征。 4