「包教会」广播风暴的产生与应对方法

2018-09-29

进度条不动了，三分钟~五分钟~啊啊啊啊啊！又！断！网！！！

还没来得及怒斥我这不争气的网速，抬头就听见全公司哀嚎一片~

@网管哥哥查看，发现内网ping丢包50%，设备灯狂闪不止，因特网访问速度非常之慢，一顿挣扎之后直接无法访问，欧克，全公司网络彻底瘫痪！

此状为何解？

原来遇上了这货——广播风暴

广播风暴(broadcast storm

简单的讲是指当广播数据充斥网络无法处理，并占用大量网络带宽，导致正常业务不能运行，甚至彻底瘫痪，这就发生了"广播风暴"。一个数据帧或包被传输到本地网段 (由广播域定义)上的每个节点就是广播；由于网络拓扑的设计和连接问题，或其他原因导致广播在网段内大量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪，这就是广播风暴。

广播风暴产生原因

1、网卡损坏：如果网络机器的网卡损坏，会产生广播风暴。网卡损坏的机器会不停地向交换机发送广播却得不到目的端的回应，产生大量无用的数据包，因此而产生广播风暴，导致该设备所在的局域网网络拥塞，甚至瘫痪。由于物理网卡损坏引起的广播风暴，网卡损坏的主机一般还能上网，而且与该设备同在一个局域网的设备也会由于网络拥塞导致瘫痪，排查量比较大，故障比较难排除。对于这种情况，我们一般从该局域网的核心交换机开始排查，然后进行单个工作站的逐一排查，查看网络连接状态或者借用Sniffer局域网管理软件，查看网络数据流量，以此判断故障点的位置。

图1 损坏主机不断发送广播包得不到回应

2、网络环路：网络环路分为第二层环路和第三层环路,所有环路的形成都是由于目的路径不明确导致混乱而造成的,例如第二层,一个广播信息经过两个交换机 的时候会不断恶性循环的产生广播,造成环路,而第三层环路则是原路由意外不能工作,造成路由通告错误,形成一个恶性循环。最典型的二层环路案例是一条双绞线，其两端同时插在同一个交换机的不同端口上，导致数据包的发送和接收同在一台交换机上，不断循环，数据帧不断重复复制，网络性能急骤下降，打开网页非常困难，严重时甚至会出现烧坏交换机的情况。这种故障，就是典型的网络环路。网络环路的产生，一般是由于一条物理网络线路的两端，同时接在了一台网络设备中或者两条双绞线接在两台交换机上，两两相连。

图2 一条网线连接同一台交换机 不同端口导致环路

3、网络病毒：目前，一些比较流行的网络病毒，Funlove、震荡波、RPC病毒、ARP攻击等。攻击者大量伪造IP地址和MAC地址，当局域网内发生ARP请求时，攻击者使用伪造的地址进行响应，MAC地址表存储的都是攻击者伪造的信息，攻击者利用主机发送给这些虚假地址的信息提取出其所需要的机密资料，从而获取利益。而且网络病毒在局域网内的传播速度极快，并且会损耗大量的网络带宽，引起网络堵塞，引起广播风暴。