運用網絡分析工具解決局域網廣播風暴問題

劉易

摘 要： 為了解決網絡廣播風暴引起機房主機訪問網站速度慢的問題，使用科來網絡分析系統對網絡流量、協議、數據包等進行分析，并結合ARP欺騙、ARP掃描、蠕蟲、網絡路由環路和物理環路的不同表征，逐一排查ARP病毒、蠕蟲、網絡路由環路三個可能導致廣播風暴的原因，最終定位廣播風暴是由網絡物理環路和交換機配置錯誤所導致。通過修改交換機配置和網絡拓撲的方式避免網絡廣播風暴，使機房主機訪問網站速度恢復正常。

關鍵詞： 網絡分析工具； 故障排除； 局域網； 廣播風暴； ARP病毒

中圖分類號：TP393.1 文獻標志碼：A 文章編號：1006-8228（2014）10-35-03

Solving LAN broadcast storm problem by applying network analysis tools

Liu Yi

（Beijing Information Technology College， Computer Engineering Department， Beijing 100018， China）

Abstract： To solve the problems of low website access speed which was caused by broadcast storm， the YOKLA network analysis system has been used to analyze the network flow， protocol and data packet. Three possible causes of broadcast storms which are ARP viruses， worms， network routing loop are excluded according to their different characteristics. On the basis of the above analysis， the problem of broadcast storm has been narrowed down to the physical network loops and switch configuration error. Having identified the problem， the network broadcast storm has been solved by modifying switch configuration and changing network topology. The website access speed has returned to normal.

Key words： network analysis tool； troubleshooting； LAN； broadcast storm； ARP viruses

0 引言

網絡速度慢是網絡管理中較常見并且也是較難處理的問題之一。為了能夠更有效地進行網絡維護，本文利用一款網絡分析工具“科來網絡分析系統”來分析學校機房網絡管理中碰到的影響網速的原因。

某學院機房的基本網絡拓撲如圖1所示，該機房分為12組，每組計算機通過一個二層交換機，連接到機房的三層交換機，匯聚后連接到學院的核心交換機，最后通過防火墻上網。該機房為網絡設備實訓室，學生經常在該機房進行組網實驗。起初機房運行環境良好，一個月后，該機房上網速度變慢，有時甚至不能上網，為了解決該問題，我們借助網絡分析工具“科來網絡分析系統”來解決該機房的上網問題。

1 故障現象描述

學院網絡主要分為教工網和學生網兩部分，該故障主要出現在學生網。學生的實驗操作若改變了機房環境，就容易導致網絡故障。該機房的主要故障為訪問常用門戶網站的延時達到了510ms左右，大大超過了用戶可忍受的等待時間。若關掉機房的二層交換機，僅用一臺主機直接接在學院的核心交換機CS&Firewall上，該主機能夠直接訪問外網，網頁訪問速度為100ms，屬正常范圍。

圖1 機房網絡拓撲示意圖

2 分析方案設計

2.1 分析目標

根據上述現象，確認Internet上網問題是由機房內部局域網所導致。通常，引起網絡速度慢的原因有以下幾種：網絡環路引起的廣播風暴、蠕蟲病毒攻擊、流量異常占用、服務器響應速度慢等。為了研究門戶網站的訪問速度問題，我們捕獲機房的數據流來進行分析。

2.2 分析設備部署

在機房的三層交換機上部署分析設備。如圖2所示，將三層交換機DS1的f0/24口連接安裝了科來網絡分析系統的服務器，鏡像三層交換機上的所有流量到f0/24口，捕獲所有訪問Internet的流量并進行分析。

圖2 科來網絡分析系統的部署

2.3 分析思路

查看網絡統計，發現網絡的總流量為23.880MB，其中8.783MB都是廣播流量。占到總流量的40%，且數據包達到136，235個，遠遠大于正常情況的廣播數據包數目。據此，確定排錯思路如下：第一步，檢查網絡環境中是否存在主機感染病毒，如ARP掃描、ARP欺騙和蠕蟲的情況；第二步，檢查網絡環境中是否存在網絡配置不當導致網絡環路。

3 故障定位

3.1 定位故障是否為病毒引起

3.1.1 病毒特征分析

根據上述現象，我們認為導致網絡風暴的病毒一般屬于蠕蟲或者攻擊類的病毒，通過分析病毒的特征，進行特征比對。

⑴ 蠕蟲類病毒

蠕蟲病毒是一種常見的計算機病毒。它主要利用網絡進行復制和傳播。由于其感染方式多樣化且傳播速度非?？?，對網絡及主機的影響非常大。

蠕蟲病毒表現特征是網絡層會有大量的主機會話，大多是發包，每個會話流量很少；連接層的連接很多，大多是發出的TCP SYN包，大部分沒有得到響應或被拒絕；總體流量的特征是發包數量遠大于收包數量[1]。

⑵ ARP病毒

ARP協議是TCP/IP協議組的一個協議，能夠把網絡地址翻譯成物理地址。ARP病毒屬于木馬類病毒，一般表現為廣播域內的計算機無法正確獲得網關和其他客戶機網卡的真實MAC地址，導致無法進行正常的網絡通信。ARP病毒對電腦用戶私密信息的威脅很大[2]。ARP病毒主要有兩種類型，即ARP掃描病毒和ARP欺騙攻擊。ARP掃描病毒是指發送大量ARP請求，掃描本網段內的MAC地址，消耗交換機資源；ARP欺騙攻擊是指通過主動發送大量ARP響應實現地址欺騙，從而獲取其他主機通訊信息[3]。

3.1.2 結合機房環境情況分析

首先查看網絡中是否存在ARP欺騙，在圖3中發現有太多ARP的主動應答診斷，定位到源MAC地址00：23：34：AB：ED：7C，發現該源地址是CS&firewall交換機的端口地址，查看數據包（圖4）發現，該數據包為網關10.32.45.254回應局域網中PC機的ARP響應包，且響應的包個數僅14個，由此判斷該局域網中不存在ARP欺騙。

圖3 診斷條目

圖4 數據包視圖

通過圖5協議視圖查看ARP請求與響應的數據包發現，ARP請求和響應的數據包個數相差較大。而正常情況下，這兩種數據包的流量以及數據包的個數相差不會很大，而此處的數據包比例為123，237：4，231，這是比較異常的現象，懷疑有ARP掃描的可能性。

查看ARP數據包的內容發現，這些ARP請求的內容均為“誰是192.168.1.200？告訴192.168.1.200”。這不符合ARP掃描的原理。ARP掃描應該是遍歷局域網的每個IP，使用ARP廣播發送相關的請求信息，然后與請求IP地址相同的主機回復ARP掃描的機器。因為捕獲的數據ARP請求都是詢問192.168.1.200這個IP地址，所以可以判斷該局域網中不存在ARP掃描。

報文中大量的ARP請求報文屬于異?，F象，且詢問的內容是本交換機的IP地址，且有兩個不同的MAC地址發出這種ARP請求包。繼續查看數據包的內容發現，上述兩個MAC地址均屬于福建星網銳捷通訊股份有限公司，初步判斷該MAC地址屬于銳捷交換機的地址。

該機房的三層交換機為銳捷交換機，查看配置發現，該交換機中出現了“ARP-4-DUPADDR：Duplicate address 92.168.1.200 on VLAN 1，sourced by 00a1.a916.d51d”的警告，并發現銳捷的交換機的VLAN 1接口配置了192.168.1.200的IP地址。該機房有兩臺銳捷交換機，連接方式為級聯，兩臺交換機上VLAN 1接口均配置了192.168.1.200的IP地址，由此判斷，出現ARP掃描的192.168.1.200，為交換機配置錯誤所導致。

接下來排除網絡中是否存在蠕蟲病毒。通過IP端點定位網絡流量最大兩臺主機10.32.45.222和10.32.45.221。通過對這兩臺主機進行分析，分別查看TCP數據包的情況發現，TCP數據包均正常，沒有出現發包遠大于接收包的情況，根據蠕蟲病毒表現特征判斷該網絡中沒有蠕蟲病毒。

3.2 定位網絡環路

⑴ 網絡環路的原理

網絡環路分為網絡物理環路（第二層環路）和網絡路由環路（第三層環路），所有環路的形成都是由于目的路徑不明確導致混亂而造成的。網絡路由環路主要是指同一個數據包在路由器間循環傳輸最終丟掉。由于路由實際上是不可達的，IP包的TTL值在傳輸過程中不斷減小直至1。路由器在丟掉數據包時會向源地址發送ICMP數據包。網絡物理環路主要是指同一個數據包在兩臺設備間無限循環傳輸，不丟棄。循環廣播報文形成廣播風暴，導致整個網絡阻塞。

⑵ 結合機房環境情況分析

查看數據包中的內容發現，診斷視圖中沒有TCP重傳的數據包。網絡路由環路的條件是大量TCP/UDP數據包中的數據包中的所有字段值都是相同的，如IP標識、TCP序列號、TCP確認號，并且同一個數據包的TTL為第一個值逐漸減到1，且需要有ICMP協議返回給服務器。通過查看數據包發現沒有上述情況，因此判斷該機房沒有網絡路由環路。

通過上述分析，了解到網絡中沒有ARP掃描，沒有ARP欺騙，而且不存在網絡路由環路。因為門戶網站的訪問問題出現在學生實驗之后，回溯該機房實驗前后的網絡監控情況發現，實驗前該機房的廣播流量僅為每秒12個包，而實驗之后每秒廣播數據包數達到61220個。

據此可以初步判斷網絡廣播是由于網絡物理環路所導致。

3.3 深入分析與結論

⑴ 網絡物理環路的表現特征

物理環路會導致ARP請求風暴，通過科來網絡分析系統發現請求風暴警告達到5519條，除此之外，網絡中同時伴隨大量的ARP請求數據包出現，達到123，236個ARP請求數據包。由于找不到目標MAC的ARP請求數據包被交換機重復轉發，造成死循環，并引起ARP請求風暴，導致機房的計算機上網速度緩慢，流量被ARP請求風暴占用?？苼砭W絡分析系統中出現大量TCP重復的連接嘗試和TCP慢應答的警告都是由物理環路所引起的。廣播地址10.32.45.255發送的數據包頻率很高，在毫秒級；且向廣播地址10.32.45.255發送的數據包的參數IP ID的值相同，TTL不變。上述分析完全符合交換機被物理環路的表現特征，因此確定機房的網絡風暴是由于交換機被物理環路所導致。

⑵ 交換機的配置

經過檢查發現，學生實驗之后，將一根線的兩端連接在了同一臺二層交換上，如圖6所示，將f0/13和f0/14直接連接。經檢查，該交換機上的生成樹spanning-tree協議沒有啟用，在交換機存在物理環路的情況下沒有阻塞其中的某一個端口，從而導致數據被重復轉發。

圖6 交換機線纜錯誤連接

4 故障解決

4.1 針對三層銳捷交換機IP地址沖突的問題

將其中一臺三層銳捷交換機上VLAN 1接口的IP地址設置為192.168.1.201，這樣就解決了網絡中出現ARP掃描警告的問題。為了避免廣播風暴，啟用兩臺交換機spanning-tree協議，使用spanning-tree enable。修改配置后，發現網絡中的ARP請求報文減少，網絡中沒有出現大量的ARP請求報文。

4.2 針對二層思科交換機網絡物理環路的問題

在二層思科交換機上啟用生成樹spanning-tree協議，spanning-tree enable。并恢復實驗環境，將錯誤的接線拆除，至此網絡速度恢復。使用科來網絡分析系統，重新監測網絡，發現廣播流量每秒包數恢復到15個，網絡環境恢復正常。

5 結束語

機房在網絡運維中出現了很多問題，其中較常見的問題是學生錯誤連接線纜導致廣播風暴的問題。本文通過科來網絡分析系統收集的報文信息，從網絡環路、蠕蟲病毒攻擊、ARP掃描和欺騙三種方面分析網絡特征，并通過特征比對，快速定位出網絡故障，從而解決機房訪問門戶網站速度慢的問題。門戶網站訪問速度問題比較復雜，在網絡管理中需要理解特殊的網絡特征和參數，并逐一排查，從而正確定位故障并解決問題。

參考文獻：

[1] 科來軟件.CSNA網絡分析認證專家實戰案例[M].西安電子科技大

學出版社，2013.

[2] 李曉杰，徐峰，盧斌.ARP病毒的方法與措施[J].煤炭技術，2007.26

（9）：109

[3] 馬宜興.網絡安全與病毒防范（第5版）[M].上海交通大學出版社，

2011.

[4] 陳忠平.網絡安全（網管天下）[M].清華大學出版社，2011.

[5] （美）艾倫，陳征等譯.網絡工程師維護和故障排除手冊（原書第2版）[M].

機械工業出版社，2010.