网络广播风暴的影响及应对措施 论文Word下载.docx
- 文档编号:13900622
- 上传时间:2022-10-14
- 格式:DOCX
- 页数:9
- 大小:357.76KB
网络广播风暴的影响及应对措施 论文Word下载.docx
《网络广播风暴的影响及应对措施 论文Word下载.docx》由会员分享,可在线阅读,更多相关《网络广播风暴的影响及应对措施 论文Word下载.docx(9页珍藏版)》请在冰豆网上搜索。
一、概述
所谓广播风暴,简单的讲,当广播数据充斥网络无法处理,并占用大量网络带宽,导致正常的数据包无法正常在网络中传送,正常业务不能运行,甚至彻底瘫痪,这就发生了“广播风暴”。
一个数据帧或包被传输到本地网段(由广播域定义)上的每个节点就是广播;
由于网络拓扑的设计和连接问题,或其他原因导致广播数据在网段内大量复制,传播数据帧,导致网络性能下降,甚至网络瘫痪,这就是广播风暴。
广播可以理解为一个人对在场的所有人说话。
这样做的好处是通话效率高,信息只需发送一遍就可以传递到网络中的所有计算机。
但是,即使没有用户人为地发送广播帧,网络上也会出现一定数量的广播帧。
广播示意图
需要注意的是,广播不仅会占用大量的网络带宽,而且还将占用计算机大量的CPU处理时间。
广播风暴就是网络长时间被大量的广播数据包所占用,使正常的点对点通信无法正常进行,其外在表现为网络速度奇慢无比,甚至导致网络瘫痪。
二、广播风暴产生原因
广播风暴的产生有多种原因,如蠕虫病毒、ARP病毒、交换机端口故障、网卡故障、网络环路等。
一般情况下,产生网络广播风暴的原因,主要有以下几种:
1、网卡损坏:
如果网络机器的网卡损坏,也同样会产生广播风暴。
损坏的网卡,不停向交换机发送大量的数据包,产生了大量无用的数据包,占用网络带宽引发广播风暴。
由于网卡物理损坏引起的广播风暴,故障比较难排除,损坏的网卡一般还能上网,我们一般用Sniffer协议类分析软件,查看网络数据流量,来判断故障点的位置。
2、网络环路:
曾经在一次的网络故障排除中,发现一个低层次的错误,一条双绞线,两端插在同一个集线器或交换机的不同端口上,导致了网络性能骤然下降,打开内网网页和应用系统都非常困难。
网络环路示意图
这种故障,就是典型的网络环路。
网络环路的产生,一般是由于一条物理网络线路的两端,同时接在了一台网络设备中,现在的交换机(不是HUB)一般都带有环路检测功能,缺省状态下,环路检测功能一般都处于关闭状态。
3、网络病毒:
目前,一些比较流行的网络病毒,Funlove、震荡波、RPC等病毒,一旦有机器中毒后,会立即通过网络进行传播。
网络病毒的传播,就会损耗大量的网络带宽,引起网络堵塞,引发广播风暴。
三、广播风暴解决及预防办法
1.接入层拓扑环引发广播风暴
当网络中存在环路,就会造成每一帧都在网络中重复广播,引起广播风暴。
要消除这种网络循环连接带来的网络广播风暴可以使用STP协议(生成树协议),以网络中一台交换机为节点生成一棵转发树,这样所有的数据都只在这棵树所指示的路径上传输,就不会产生广播风暴——因为树没有环路。
但因为STP算法开销太大,交换机默认都没启用该协议。
对策:
在接入层启用树生成协议,或者在诊断故障时打开树生成协议,以便协助确定故障点。
在广播风暴发生时,应首先了解发生故障前网络的改动,建立完善的网络文档资料,包括:
网络布线图、IP地址和MAC地址对应表等,现在可以通过局域网工具软件来扫描获取这些信息。
2.集线器拓扑环引发广播风暴
可网管的交换机由于具备树生成协议功能,可自动切断级联交换机之间的冗余端口,避免网路偶拓扑环的产生,但这个功能,集线器并不具备。
在同一集线器上的不同端口,或集线器之间有冗余的连接,就导致网络拓扑环的发生,进而导致网络广播风暴,造成网络通讯失败。
对策:
用于级联交换机或集线器的跳线应当做一些特殊标记,最好选择使用不同颜色的跳线,与其他普通跳线相区别。
3.网卡损坏或者交换机端口损坏引发广播风暴
当交换机有一个端口传输速率非常缓慢,最后导致整台交换机都慢下来,如果交换机是可网管型的,可通过控制台检查交换机的状态,如发现交换机的缓冲池增长的非常快,达到90%乃至更多。
一般来说,这种原因是因为交换机与所连接的计算机之间发送大量的广播造成,通常是因为连接该计算机的网卡损坏,导致不断的发送广播包造成,也有可能是因为网卡与交换机形成了回路,广播包阻塞不能及时发出。
可将其他正常的计算机接到有问题的端口上,如果故障解决,则是原先计算机的网卡损坏或网络故障所致,更换新网卡并检测线路及网络配置即可解决。
如果故障依旧,则说明原先计算机的网卡未损坏,可能是交换机的该端口已损坏,检查该端口的指示灯,如确认是该端口损坏,应及时更换交换机将端口损坏交换机送修或者将计算机连接到其他端口,但不要擅自修理交换机,否则损坏交换机得不偿失。
4.蠕虫病毒引发广播风暴
当网络中某计算机感染蠕虫病毒时,如Funlove、震荡波、RPC等病毒,如果查看该网卡的发送包和接收包的数量时发现发包数在快速增加,则说明该计算机感染了蠕虫病毒,通过网络传播,损耗大量的网络带宽,引起网络堵塞,导致广播风暴。
为每台计算机安装杀毒软件,并配置补丁服务器(WSUS)来保证局域网内所有的计算机都能及时打上最新的补丁并能防御查杀最新病毒。
5.ARP攻击导致广播风暴
计算机不断出现IP地址冲突的提示,重启后不久就重新出现这种情况,升级到最新病毒库却未查出病毒。
这种现象,是因为局域网中有计算机感染了病毒,不断的向局域网发送广播,并采用了IP地址欺骗和MAC地址欺骗的方法以躲过扫描。
也有可能是有人在局域网中使用了黑客软件,如网络执法官、网络剪刀手等黑客软件,对局域网进行攻击,也是采用了ARP攻击导致了广播风暴。
为计算机安装防范ARP攻击的软件,如360安全卫士的局域网ARP攻击拦截的保护功能等;
对局域网内每一台计算机绑定网管的IP和其MAC地址;
给每一台计算机安装最新补丁,最好通过在局域网内架设补丁服务器(WSUS)来确保每一台计算机都能打上最新的补丁程序,如关键更新、安全更新和ServicePack;
给系统管理员帐户设置足够复杂的强密码;
经常更新杀毒软件的病毒库和网络软件防火墙的规则库;
关闭一些不需要的服务。
ARP欺骗和攻击问题,是企业网络的心腹大患。
关于这个问题的讨论已经很深入了,对ARP攻击的机理了解的也很透彻,各种防范措施也层出不穷。
目前很多种ARP防范措施,一是解决措施的防范能力有限,并不是最根本的办法。
二是对网络管理约束很大,不方便不实用,不具备可操作性。
三是某些措施对网络传输的效能有损失,网速变慢,带宽浪费,也不可取。
三种常见防范ARP措施的分析
1)双绑措施
双绑是在路由器和终端上都进行IP-MAC绑定的措施,它可以对ARP欺骗的两边,伪造网关和截获数据,都具有约束的作用。
这是从ARP欺骗原理上进行的防范措施,也是最普遍应用的办法。
它对付最普通的ARP欺骗是有效的。
在路由器上做IP-MAC表的绑定工作,费时费力,是一项繁琐的维护工作。
换个网卡或更换IP,都需要重新配置路由,是网络维护的巨大负担。
双绑只是让网络的两端电脑和路由不接收相关ARP信息,但是大量的ARP攻击数据还是能发出,还要在内网传输,大幅降低内网传输效率,依然会出现问题。
因此,虽然双绑曾经是ARP防范的基础措施,但因为防范能力有限,管理太麻烦,现在它的效果越来越有限了。
2)ARP个人防火墙
在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。
ARP防火墙使用范围很广,ARP个人防火墙起到的作用,就是防止自己的数据不会被盗取,而整个网络的问题,如掉线、卡滞等,ARP个人防火墙是无能为力的。
因此,ARP个人防火墙并没有提供可靠的保证。
最重要的是,它是跟网络稳定无关的措施,它是个人的,不是网络的。
3)VLAN和交换机端口绑定
通过划分VLAN和交换机端口绑定,以图防范ARP,也是常用的防范方法。
做法是细致地划分VLAN,减小广播域的范围,使ARP在小范围内起作用,而不至于发生大面积影响。
同时,一些网管交换机具有MAC地址学习的功能,学习完成后,再关闭这个功能,就可以把对应的MAC和端口进行绑定,避免了病毒利用ARP攻击篡改自身地址。
也就是说,把ARP攻击中被截获数据的风险解除了。
这种方法确实能起到一定的作用。
但是实施交换机端口绑定,必定要全部采用高级的网管交换机、三层交换机,整个交换网络的造价大大提高。
相对来说,这种方法是现今企业较常用,也是预防ARP攻击的较有效的方法,但是因为交换网络本身就是无条件支持ARP操作的,就是它本身的漏洞造成了ARP攻击的可能,它上面的管理手段不是针对ARP的。
因此,在现有的交换网络上实施ARP防范措施,属于以子之矛攻子之盾。
而且操作维护复杂。
6.网络视频引发广播风暴
部分视频网络传输设备为了便于网络视频点播,常常采用UDP的方式,以广播数据包的形式对外进行发送,如果在专用网络中也使用这种方式,很容易引发广播风暴,导致网络阻塞,因此必须通过相关设置来杜绝这类故障。
将视频网络传输设备所连接的交换机端口进行一些设置,对设备本身的网络传输模式以及传送协议类型进行更改,消除网络广播风暴。
四、广播风暴实战案例
1.网络环路引发广播风暴
Ø
故障描述
某日,部分部门反映应用系统无法使用,严重影响工作的正常有序运行,经查各地区网络出现速度慢,并且时断时续,所有应用均不能正常使用。
故障排除
首先检查各地区间主干光纤传输链路是否正常,排除主干光纤传输链路问题,初步确定为广播风暴导致,采用排除法,分别断开各区域间主干传输链路,最终确定为某园区引发此次广播风暴。
迅速联系该园区网络管理员,检查该园区网络拓扑的最新变化,了解到某部门网络拓扑昨日发生变化,新连接一台集线器,增加了部分终端,目标锁定,现场对该网络拓扑进行检查,发现集线器两个端口由一根网络跳线连接,形成环路引发广播风暴,去除此跳线后,网络恢复正常。
故障分析及预防
此种故障影响面大,迅速,根据网络拓扑新增和变化情况,较容易发现并排除。
应建立完整的文档,并及时更新网络拓扑,禁止私自变动网络拓扑结构,应申请由网络管理员完成,或采用不同颜色的级联跳线,避免误操作引发广播风暴。
2.病毒引发广播风暴
某日,部分部门反映应用系统登录速度慢,或提示连接应用系统错误,严重影响工作的正常有序进行,经查各地区网络出现速度慢,并且时断时续,所有应用均不能正常使用。
首先检查各地区间主干光纤传输链路是否正常,排除主干光纤传输链路问题,登录交换机,发现交换机间断性重启,导致网络时断时续,初步确定为广播风暴,导致交换机的缓冲池溢出,交换机重启。
采用排除法,分别断开各区域间主干传输链路,最终确定为某园区引发此次广播风暴。
检查该园区网络拓扑结构变化情况,确定无变化,排除环路引发广播风暴的可能,由此推断可能是病毒引发风暴,但当时该园区划分了二十多个VLAN,近300台计算机终端,要在如此多终端中找出引发风暴的计算机终端并不是一件易事,
因此我们采用Snifferpro(协议类分析软件)来检测广播风暴。
Sniffer,又称“嗅探器”,是一种基于被动侦听原理的网络分析方式,一种利用以太网的特性把网络适配卡置为杂乱(promis-cuous)模式状态的工具,一旦网卡设置为这种模式它就能接收传输在网络上的每一个信息包,该网卡具备“广播地址”它对所有遇到的每一个数据帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。
使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
这样不管它的接受者或发送者,是不是运行Sniffer的主机,Sniffer将数据存
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 网络广播风暴的影响及应对措施 论文 网络 广播 风暴 影响 应对 措施