劉易

摘 要： 為了解決網(wǎng)絡(luò)廣播風(fēng)暴引起機(jī)房主機(jī)訪問網(wǎng)站速度慢的問題，使用科來網(wǎng)絡(luò)分析系統(tǒng)對網(wǎng)絡(luò)流量、協(xié)議、數(shù)據(jù)包等進(jìn)行分析，并結(jié)合ARP欺騙、ARP掃描、蠕蟲、網(wǎng)絡(luò)路由環(huán)路和物理環(huán)路的不同表征，逐一排查ARP病毒、蠕蟲、網(wǎng)絡(luò)路由環(huán)路三個(gè)可能導(dǎo)致廣播風(fēng)暴的原因，最終定位廣播風(fēng)暴是由網(wǎng)絡(luò)物理環(huán)路和交換機(jī)配置錯誤所導(dǎo)致。通過修改交換機(jī)配置和網(wǎng)絡(luò)拓?fù)涞姆绞奖苊饩W(wǎng)絡(luò)廣播風(fēng)暴，使機(jī)房主機(jī)訪問網(wǎng)站速度恢復(fù)正常。

關(guān)鍵詞： 網(wǎng)絡(luò)分析工具； 故障排除； 局域網(wǎng)； 廣播風(fēng)暴； ARP病毒

中圖分類號：TP393.1 文獻(xiàn)標(biāo)志碼：A 文章編號：1006-8228（2014）10-35-03

Solving LAN broadcast storm problem by applying network analysis tools

Liu Yi

（Beijing Information Technology College， Computer Engineering Department， Beijing 100018， China）

Abstract： To solve the problems of low website access speed which was caused by broadcast storm， the YOKLA network analysis system has been used to analyze the network flow， protocol and data packet. Three possible causes of broadcast storms which are ARP viruses， worms， network routing loop are excluded according to their different characteristics. On the basis of the above analysis， the problem of broadcast storm has been narrowed down to the physical network loops and switch configuration error. Having identified the problem， the network broadcast storm has been solved by modifying switch configuration and changing network topology. The website access speed has returned to normal.

Key words： network analysis tool； troubleshooting； LAN； broadcast storm； ARP viruses

0 引言

網(wǎng)絡(luò)速度慢是網(wǎng)絡(luò)管理中較常見并且也是較難處理的問題之一。為了能夠更有效地進(jìn)行網(wǎng)絡(luò)維護(hù)，本文利用一款網(wǎng)絡(luò)分析工具“科來網(wǎng)絡(luò)分析系統(tǒng)”來分析學(xué)校機(jī)房網(wǎng)絡(luò)管理中碰到的影響網(wǎng)速的原因。

某學(xué)院機(jī)房的基本網(wǎng)絡(luò)拓?fù)淙鐖D1所示，該機(jī)房分為12組，每組計(jì)算機(jī)通過一個(gè)二層交換機(jī)，連接到機(jī)房的三層交換機(jī)，匯聚后連接到學(xué)院的核心交換機(jī)，最后通過防火墻上網(wǎng)。該機(jī)房為網(wǎng)絡(luò)設(shè)備實(shí)訓(xùn)室，學(xué)生經(jīng)常在該機(jī)房進(jìn)行組網(wǎng)實(shí)驗(yàn)。起初機(jī)房運(yùn)行環(huán)境良好，一個(gè)月后，該機(jī)房上網(wǎng)速度變慢，有時(shí)甚至不能上網(wǎng)，為了解決該問題，我們借助網(wǎng)絡(luò)分析工具“科來網(wǎng)絡(luò)分析系統(tǒng)”來解決該機(jī)房的上網(wǎng)問題。

1 故障現(xiàn)象描述

學(xué)院網(wǎng)絡(luò)主要分為教工網(wǎng)和學(xué)生網(wǎng)兩部分，該故障主要出現(xiàn)在學(xué)生網(wǎng)。學(xué)生的實(shí)驗(yàn)操作若改變了機(jī)房環(huán)境，就容易導(dǎo)致網(wǎng)絡(luò)故障。該機(jī)房的主要故障為訪問常用門戶網(wǎng)站的延時(shí)達(dá)到了510ms左右，大大超過了用戶可忍受的等待時(shí)間。若關(guān)掉機(jī)房的二層交換機(jī)，僅用一臺主機(jī)直接接在學(xué)院的核心交換機(jī)CS&Firewall上，該主機(jī)能夠直接訪問外網(wǎng)，網(wǎng)頁訪問速度為100ms，屬正常范圍。

圖1 機(jī)房網(wǎng)絡(luò)拓?fù)涫疽鈭D

2 分析方案設(shè)計(jì)

2.1 分析目標(biāo)

根據(jù)上述現(xiàn)象，確認(rèn)Internet上網(wǎng)問題是由機(jī)房內(nèi)部局域網(wǎng)所導(dǎo)致。通常，引起網(wǎng)絡(luò)速度慢的原因有以下幾種：網(wǎng)絡(luò)環(huán)路引起的廣播風(fēng)暴、蠕蟲病毒攻擊、流量異常占用、服務(wù)器響應(yīng)速度慢等。為了研究門戶網(wǎng)站的訪問速度問題，我們捕獲機(jī)房的數(shù)據(jù)流來進(jìn)行分析。

2.2 分析設(shè)備部署

在機(jī)房的三層交換機(jī)上部署分析設(shè)備。如圖2所示，將三層交換機(jī)DS1的f0/24口連接安裝了科來網(wǎng)絡(luò)分析系統(tǒng)的服務(wù)器，鏡像三層交換機(jī)上的所有流量到f0/24口，捕獲所有訪問Internet的流量并進(jìn)行分析。

圖2 科來網(wǎng)絡(luò)分析系統(tǒng)的部署

2.3 分析思路

查看網(wǎng)絡(luò)統(tǒng)計(jì)，發(fā)現(xiàn)網(wǎng)絡(luò)的總流量為23.880MB，其中8.783MB都是廣播流量。占到總流量的40%，且數(shù)據(jù)包達(dá)到136，235個(gè)，遠(yuǎn)遠(yuǎn)大于正常情況的廣播數(shù)據(jù)包數(shù)目。據(jù)此，確定排錯思路如下：第一步，檢查網(wǎng)絡(luò)環(huán)境中是否存在主機(jī)感染病毒，如ARP掃描、ARP欺騙和蠕蟲的情況；第二步，檢查網(wǎng)絡(luò)環(huán)境中是否存在網(wǎng)絡(luò)配置不當(dāng)導(dǎo)致網(wǎng)絡(luò)環(huán)路。

3 故障定位

3.1 定位故障是否為病毒引起

3.1.1 病毒特征分析

根據(jù)上述現(xiàn)象，我們認(rèn)為導(dǎo)致網(wǎng)絡(luò)風(fēng)暴的病毒一般屬于蠕蟲或者攻擊類的病毒，通過分析病毒的特征，進(jìn)行特征比對。

⑴ 蠕蟲類病毒

蠕蟲病毒是一種常見的計(jì)算機(jī)病毒。它主要利用網(wǎng)絡(luò)進(jìn)行復(fù)制和傳播。由于其感染方式多樣化且傳播速度非?？?，對網(wǎng)絡(luò)及主機(jī)的影響非常大。

蠕蟲病毒表現(xiàn)特征是網(wǎng)絡(luò)層會有大量的主機(jī)會話，大多是發(fā)包，每個(gè)會話流量很少；連接層的連接很多，大多是發(fā)出的TCP SYN包，大部分沒有得到響應(yīng)或被拒絕；總體流量的特征是發(fā)包數(shù)量遠(yuǎn)大于收包數(shù)量[1]。

⑵ ARP病毒

ARP協(xié)議是TCP/IP協(xié)議組的一個(gè)協(xié)議，能夠把網(wǎng)絡(luò)地址翻譯成物理地址。ARP病毒屬于木馬類病毒，一般表現(xiàn)為廣播域內(nèi)的計(jì)算機(jī)無法正確獲得網(wǎng)關(guān)和其他客戶機(jī)網(wǎng)卡的真實(shí)MAC地址，導(dǎo)致無法進(jìn)行正常的網(wǎng)絡(luò)通信。ARP病毒對電腦用戶私密信息的威脅很大[2]。ARP病毒主要有兩種類型，即ARP掃描病毒和ARP欺騙攻擊。ARP掃描病毒是指發(fā)送大量ARP請求，掃描本網(wǎng)段內(nèi)的MAC地址，消耗交換機(jī)資源；ARP欺騙攻擊是指通過主動發(fā)送大量ARP響應(yīng)實(shí)現(xiàn)地址欺騙，從而獲取其他主機(jī)通訊信息[3]。

3.1.2 結(jié)合機(jī)房環(huán)境情況分析

首先查看網(wǎng)絡(luò)中是否存在ARP欺騙，在圖3中發(fā)現(xiàn)有太多ARP的主動應(yīng)答診斷，定位到源MAC地址00：23：34：AB：ED：7C，發(fā)現(xiàn)該源地址是CS&firewall交換機(jī)的端口地址，查看數(shù)據(jù)包（圖4）發(fā)現(xiàn)，該數(shù)據(jù)包為網(wǎng)關(guān)10.32.45.254回應(yīng)局域網(wǎng)中PC機(jī)的ARP響應(yīng)包，且響應(yīng)的包個(gè)數(shù)僅14個(gè)，由此判斷該局域網(wǎng)中不存在ARP欺騙。

圖3 診斷條目

圖4 數(shù)據(jù)包視圖

通過圖5協(xié)議視圖查看ARP請求與響應(yīng)的數(shù)據(jù)包發(fā)現(xiàn)，ARP請求和響應(yīng)的數(shù)據(jù)包個(gè)數(shù)相差較大。而正常情況下，這兩種數(shù)據(jù)包的流量以及數(shù)據(jù)包的個(gè)數(shù)相差不會很大，而此處的數(shù)據(jù)包比例為123，237：4，231，這是比較異常的現(xiàn)象，懷疑有ARP掃描的可能性。

查看ARP數(shù)據(jù)包的內(nèi)容發(fā)現(xiàn)，這些ARP請求的內(nèi)容均為“誰是192.168.1.200？告訴192.168.1.200”。這不符合ARP掃描的原理。ARP掃描應(yīng)該是遍歷局域網(wǎng)的每個(gè)IP，使用ARP廣播發(fā)送相關(guān)的請求信息，然后與請求IP地址相同的主機(jī)回復(fù)ARP掃描的機(jī)器。因?yàn)椴东@的數(shù)據(jù)ARP請求都是詢問192.168.1.200這個(gè)IP地址，所以可以判斷該局域網(wǎng)中不存在ARP掃描。

報(bào)文中大量的ARP請求報(bào)文屬于異?，F(xiàn)象，且詢問的內(nèi)容是本交換機(jī)的IP地址，且有兩個(gè)不同的MAC地址發(fā)出這種ARP請求包。繼續(xù)查看數(shù)據(jù)包的內(nèi)容發(fā)現(xiàn)，上述兩個(gè)MAC地址均屬于福建星網(wǎng)銳捷通訊股份有限公司，初步判斷該MAC地址屬于銳捷交換機(jī)的地址。

該機(jī)房的三層交換機(jī)為銳捷交換機(jī)，查看配置發(fā)現(xiàn)，該交換機(jī)中出現(xiàn)了“ARP-4-DUPADDR：Duplicate address 92.168.1.200 on VLAN 1，sourced by 00a1.a916.d51d”的警告，并發(fā)現(xiàn)銳捷的交換機(jī)的VLAN 1接口配置了192.168.1.200的IP地址。該機(jī)房有兩臺銳捷交換機(jī)，連接方式為級聯(lián)，兩臺交換機(jī)上VLAN 1接口均配置了192.168.1.200的IP地址，由此判斷，出現(xiàn)ARP掃描的192.168.1.200，為交換機(jī)配置錯誤所導(dǎo)致。

接下來排除網(wǎng)絡(luò)中是否存在蠕蟲病毒。通過IP端點(diǎn)定位網(wǎng)絡(luò)流量最大兩臺主機(jī)10.32.45.222和10.32.45.221。通過對這兩臺主機(jī)進(jìn)行分析，分別查看TCP數(shù)據(jù)包的情況發(fā)現(xiàn)，TCP數(shù)據(jù)包均正常，沒有出現(xiàn)發(fā)包遠(yuǎn)大于接收包的情況，根據(jù)蠕蟲病毒表現(xiàn)特征判斷該網(wǎng)絡(luò)中沒有蠕蟲病毒。

3.2 定位網(wǎng)絡(luò)環(huán)路

⑴ 網(wǎng)絡(luò)環(huán)路的原理

網(wǎng)絡(luò)環(huán)路分為網(wǎng)絡(luò)物理環(huán)路（第二層環(huán)路）和網(wǎng)絡(luò)路由環(huán)路（第三層環(huán)路），所有環(huán)路的形成都是由于目的路徑不明確導(dǎo)致混亂而造成的。網(wǎng)絡(luò)路由環(huán)路主要是指同一個(gè)數(shù)據(jù)包在路由器間循環(huán)傳輸最終丟掉。由于路由實(shí)際上是不可達(dá)的，IP包的TTL值在傳輸過程中不斷減小直至1。路由器在丟掉數(shù)據(jù)包時(shí)會向源地址發(fā)送ICMP數(shù)據(jù)包。網(wǎng)絡(luò)物理環(huán)路主要是指同一個(gè)數(shù)據(jù)包在兩臺設(shè)備間無限循環(huán)傳輸，不丟棄。循環(huán)廣播報(bào)文形成廣播風(fēng)暴，導(dǎo)致整個(gè)網(wǎng)絡(luò)阻塞。

⑵ 結(jié)合機(jī)房環(huán)境情況分析

查看數(shù)據(jù)包中的內(nèi)容發(fā)現(xiàn)，診斷視圖中沒有TCP重傳的數(shù)據(jù)包。網(wǎng)絡(luò)路由環(huán)路的條件是大量TCP/UDP數(shù)據(jù)包中的數(shù)據(jù)包中的所有字段值都是相同的，如IP標(biāo)識、TCP序列號、TCP確認(rèn)號，并且同一個(gè)數(shù)據(jù)包的TTL為第一個(gè)值逐漸減到1，且需要有ICMP協(xié)議返回給服務(wù)器。通過查看數(shù)據(jù)包發(fā)現(xiàn)沒有上述情況，因此判斷該機(jī)房沒有網(wǎng)絡(luò)路由環(huán)路。

通過上述分析，了解到網(wǎng)絡(luò)中沒有ARP掃描，沒有ARP欺騙，而且不存在網(wǎng)絡(luò)路由環(huán)路。因?yàn)殚T戶網(wǎng)站的訪問問題出現(xiàn)在學(xué)生實(shí)驗(yàn)之后，回溯該機(jī)房實(shí)驗(yàn)前后的網(wǎng)絡(luò)監(jiān)控情況發(fā)現(xiàn)，實(shí)驗(yàn)前該機(jī)房的廣播流量僅為每秒12個(gè)包，而實(shí)驗(yàn)之后每秒廣播數(shù)據(jù)包數(shù)達(dá)到61220個(gè)。

據(jù)此可以初步判斷網(wǎng)絡(luò)廣播是由于網(wǎng)絡(luò)物理環(huán)路所導(dǎo)致。

3.3 深入分析與結(jié)論

⑴ 網(wǎng)絡(luò)物理環(huán)路的表現(xiàn)特征

物理環(huán)路會導(dǎo)致ARP請求風(fēng)暴，通過科來網(wǎng)絡(luò)分析系統(tǒng)發(fā)現(xiàn)請求風(fēng)暴警告達(dá)到5519條，除此之外，網(wǎng)絡(luò)中同時(shí)伴隨大量的ARP請求數(shù)據(jù)包出現(xiàn)，達(dá)到123，236個(gè)ARP請求數(shù)據(jù)包。由于找不到目標(biāo)MAC的ARP請求數(shù)據(jù)包被交換機(jī)重復(fù)轉(zhuǎn)發(fā)，造成死循環(huán)，并引起ARP請求風(fēng)暴，導(dǎo)致機(jī)房的計(jì)算機(jī)上網(wǎng)速度緩慢，流量被ARP請求風(fēng)暴占用?？苼砭W(wǎng)絡(luò)分析系統(tǒng)中出現(xiàn)大量TCP重復(fù)的連接嘗試和TCP慢應(yīng)答的警告都是由物理環(huán)路所引起的。廣播地址10.32.45.255發(fā)送的數(shù)據(jù)包頻率很高，在毫秒級；且向廣播地址10.32.45.255發(fā)送的數(shù)據(jù)包的參數(shù)IP ID的值相同，TTL不變。上述分析完全符合交換機(jī)被物理環(huán)路的表現(xiàn)特征，因此確定機(jī)房的網(wǎng)絡(luò)風(fēng)暴是由于交換機(jī)被物理環(huán)路所導(dǎo)致。

⑵ 交換機(jī)的配置

經(jīng)過檢查發(fā)現(xiàn)，學(xué)生實(shí)驗(yàn)之后，將一根線的兩端連接在了同一臺二層交換上，如圖6所示，將f0/13和f0/14直接連接。經(jīng)檢查，該交換機(jī)上的生成樹spanning-tree協(xié)議沒有啟用，在交換機(jī)存在物理環(huán)路的情況下沒有阻塞其中的某一個(gè)端口，從而導(dǎo)致數(shù)據(jù)被重復(fù)轉(zhuǎn)發(fā)。

圖6 交換機(jī)線纜錯誤連接

4 故障解決

4.1 針對三層銳捷交換機(jī)IP地址沖突的問題

將其中一臺三層銳捷交換機(jī)上VLAN 1接口的IP地址設(shè)置為192.168.1.201，這樣就解決了網(wǎng)絡(luò)中出現(xiàn)ARP掃描警告的問題。為了避免廣播風(fēng)暴，啟用兩臺交換機(jī)spanning-tree協(xié)議，使用spanning-tree enable。修改配置后，發(fā)現(xiàn)網(wǎng)絡(luò)中的ARP請求報(bào)文減少，網(wǎng)絡(luò)中沒有出現(xiàn)大量的ARP請求報(bào)文。

4.2 針對二層思科交換機(jī)網(wǎng)絡(luò)物理環(huán)路的問題

在二層思科交換機(jī)上啟用生成樹spanning-tree協(xié)議，spanning-tree enable。并恢復(fù)實(shí)驗(yàn)環(huán)境，將錯誤的接線拆除，至此網(wǎng)絡(luò)速度恢復(fù)。使用科來網(wǎng)絡(luò)分析系統(tǒng)，重新監(jiān)測網(wǎng)絡(luò)，發(fā)現(xiàn)廣播流量每秒包數(shù)恢復(fù)到15個(gè)，網(wǎng)絡(luò)環(huán)境恢復(fù)正常。

5 結(jié)束語

機(jī)房在網(wǎng)絡(luò)運(yùn)維中出現(xiàn)了很多問題，其中較常見的問題是學(xué)生錯誤連接線纜導(dǎo)致廣播風(fēng)暴的問題。本文通過科來網(wǎng)絡(luò)分析系統(tǒng)收集的報(bào)文信息，從網(wǎng)絡(luò)環(huán)路、蠕蟲病毒攻擊、ARP掃描和欺騙三種方面分析網(wǎng)絡(luò)特征，并通過特征比對，快速定位出網(wǎng)絡(luò)故障，從而解決機(jī)房訪問門戶網(wǎng)站速度慢的問題。門戶網(wǎng)站訪問速度問題比較復(fù)雜，在網(wǎng)絡(luò)管理中需要理解特殊的網(wǎng)絡(luò)特征和參數(shù)，并逐一排查，從而正確定位故障并解決問題。

參考文獻(xiàn)：

[1] 科來軟件.CSNA網(wǎng)絡(luò)分析認(rèn)證專家實(shí)戰(zhàn)案例[M].西安電子科技大

學(xué)出版社，2013.

[2] 李曉杰，徐峰，盧斌.ARP病毒的方法與措施[J].煤炭技術(shù)，2007.26

（9）：109

[3] 馬宜興.網(wǎng)絡(luò)安全與病毒防范（第5版）[M].上海交通大學(xué)出版社，

2011.

[4] 陳忠平.網(wǎng)絡(luò)安全（網(wǎng)管天下）[M].清華大學(xué)出版社，2011.

[5] （美）艾倫，陳征等譯.網(wǎng)絡(luò)工程師維護(hù)和故障排除手冊（原書第2版）[M].

機(jī)械工業(yè)出版社，2010.