1、網絡廣播風暴的影響及應對措施【摘要】：網絡廣播風暴對網絡應用會產生極壞性影響, 嚴重時會導致網絡癱瘓。如何預防和應對網絡廣播風暴,是網絡管理員必須應對的一個課題。文章介紹了網絡廣播風暴產生的表現特征, 從理論上分析了產生的原因, 并介紹了具體的應對方法。【關鍵詞】：網絡廣播風暴;網絡環路;病毒;危害;應對措施 一、概述所謂廣播風暴，簡單的講，當廣播數據充斥網絡無法處理，并占用大量網絡帶寬，導致正常的數據包無法正常在網絡中傳送，正常業務不能運行，甚至徹底癱瘓，這就發生了“廣播風暴”。一個數據幀或包被傳輸到本地網段 (由廣播域定義)上的每個節點就是廣播；由于網絡拓撲的設計和連接問題，或其他原因導致

2、廣播數據在網段內大量復制，傳播數據幀，導致網絡性能下降，甚至網絡癱瘓，這就是廣播風暴。廣播可以理解為一個人對在場的所有人說話。這樣做的好處是通話效率高, 信息只需發送一遍就可以傳遞到網絡中的所有計算機。但是, 即使沒有用戶人為地發送廣播幀, 網絡上也會出現一定數量的廣播幀。廣播示意圖需要注意的是, 廣播不僅會占用大量的網絡帶寬, 而且還將占用計算機大量的CPU處理時間。廣播風暴就是網絡長時間被大量的廣播數據包所占用, 使正常的點對點通信無法正常進行, 其外在表現為網絡速度奇慢無比, 甚至導致網絡癱瘓。二、廣播風暴產生原因 廣播風暴的產生有多種原因，如蠕蟲病毒、ARP病毒、交換機端口故障、網卡故

3、障、網絡環路等。一般情況下，產生網絡廣播風暴的原因，主要有以下幾種：1、網卡損壞：如果網絡機器的網卡損壞，也同樣會產生廣播風暴。損壞的網卡，不停向交換機發送大量的數據包，產生了大量無用的數據包，占用網絡帶寬引發廣播風暴。由于網卡物理損壞引起的廣播風暴，故障比較難排除，損壞的網卡一般還能上網，我們一般用Sniffer協議類分析軟件，查看網絡數據流量，來判斷故障點的位置。2、網絡環路：曾經在一次的網絡故障排除中，發現一個低層次的錯誤，一條雙絞線，兩端插在同一個集線器或交換機的不同端口上，導致了網絡性能驟然下降，打開內網網頁和應用系統都非常困難。網絡環路示意圖這種故障，就是典型的網絡環路。網絡環路的

4、產生，一般是由于一條物理網絡線路的兩端，同時接在了一臺網絡設備中，現在的交換機(不是HUB)一般都帶有環路檢測功能，缺省狀態下，環路檢測功能一般都處于關閉狀態。3、網絡病毒：目前，一些比較流行的網絡病毒，Funlove、震蕩波、RPC等病毒，一旦有機器中毒后，會立即通過網絡進行傳播。網絡病毒的傳播，就會損耗大量的網絡帶寬，引起網絡堵塞，引發廣播風暴。三、廣播風暴解決及預防辦法1.接入層拓撲環引發廣播風暴 當網絡中存在環路，就會造成每一幀都在網絡中重復廣播，引起廣播風暴。要消除這種網絡循環連接帶來的網絡廣播風暴可以使用STP協議（生成樹協議），以網絡中一臺交換機為節點生成一棵轉發樹，這樣所有的數

5、據都只在這棵樹所指示的路徑上傳輸，就不會產生廣播風暴因為樹沒有環路。但因為STP算法開銷太大，交換機默認都沒啟用該協議。 對策：在接入層啟用樹生成協議，或者在診斷故障時打開樹生成協議，以便協助確定故障點。在廣播風暴發生時，應首先了解發生故障前網絡的改動，建立完善的網絡文檔資料，包括：網絡布線圖、IP地址和MAC地址對應表等，現在可以通過局域網工具軟件來掃描獲取這些信息。2.集線器拓撲環引發廣播風暴可網管的交換機由于具備樹生成協議功能，可自動切斷級聯交換機之間的冗余端口，避免網路偶拓撲環的產生，但這個功能，集線器并不具備。在同一集線器上的不同端口，或集線器之間有冗余的連接，就導致網絡拓撲環的發生

6、，進而導致網絡廣播風暴，造成網絡通訊失敗。 對策：用于級聯交換機或集線器的跳線應當做一些特殊標記，最好選擇使用不同顏色的跳線，與其他普通跳線相區別。3.網卡損壞或者交換機端口損壞引發廣播風暴 當交換機有一個端口傳輸速率非常緩慢，最后導致整臺交換機都慢下來，如果交換機是可網管型的，可通過控制臺檢查交換機的狀態，如發現交換機的緩沖池增長的非常快，達到90%乃至更多。一般來說，這種原因是因為交換機與所連接的計算機之間發送大量的廣播造成，通常是因為連接該計算機的網卡損壞，導致不斷的發送廣播包造成，也有可能是因為網卡與交換機形成了回路，廣播包阻塞不能及時發出。 對策：可將其他正常的計算機接到有問題的端口

7、上，如果故障解決，則是原先計算機的網卡損壞或網絡故障所致，更換新網卡并檢測線路及網絡配置即可解決。如果故障依舊，則說明原先計算機的網卡未損壞，可能是交換機的該端口已損壞，檢查該端口的指示燈，如確認是該端口損壞，應及時更換交換機將端口損壞交換機送修或者將計算機連接到其他端口，但不要擅自修理交換機，否則損壞交換機得不償失。4.蠕蟲病毒引發廣播風暴 當網絡中某計算機感染蠕蟲病毒時，如Funlove、震蕩波、RPC等病毒，如果查看該網卡的發送包和接收包的數量時發現發包數在快速增加，則說明該計算機感染了蠕蟲病毒，通過網絡傳播，損耗大量的網絡帶寬，引起網絡堵塞，導致廣播風暴。 對策：為每臺計算機安裝殺毒軟

8、件，并配置補丁服務器（WSUS）來保證局域網內所有的計算機都能及時打上最新的補丁并能防御查殺最新病毒。5.ARP攻擊導致廣播風暴 計算機不斷出現IP地址沖突的提示，重啟后不久就重新出現這種情況，升級到最新病毒庫卻未查出病毒。這種現象，是因為局域網中有計算機感染了病毒，不斷的向局域網發送廣播，并采用了IP地址欺騙和MAC地址欺騙的方法以躲過掃描。也有可能是有人在局域網中使用了黑客軟件，如網絡執法官、網絡剪刀手等黑客軟件，對局域網進行攻擊，也是采用了ARP攻擊導致了廣播風暴。 對策：為計算機安裝防范ARP攻擊的軟件，如360安全衛士的局域網ARP攻擊攔截的保護功能等；對局域網內每一臺計算機綁定網管

9、的IP和其MAC地址；給每一臺計算機安裝最新補丁，最好通過在局域網內架設補丁服務器（WSUS）來確保每一臺計算機都能打上最新的補丁程序，如關鍵更新、安全更新和Service Pack；給系統管理員帳戶設置足夠復雜的強密碼；經常更新殺毒軟件的病毒庫和網絡軟件防火墻的規則庫；關閉一些不需要的服務。 ARP欺騙和攻擊問題，是企業網絡的心腹大患。關于這個問題的討論已經很深入了，對ARP攻擊的機理了解的也很透徹，各種防范措施也層出不窮。 目前很多種ARP防范措施，一是解決措施的防范能力有限，并不是最根本的辦法。二是對網絡管理約束很大，不方便不實用，不具備可操作性。三是某些措施對網絡傳輸的效能有損失，網速

10、變慢，帶寬浪費，也不可取。三種常見防范ARP措施的分析1) 雙綁措施 雙綁是在路由器和終端上都進行IP-MAC綁定的措施，它可以對ARP欺騙的兩邊，偽造網關和截獲數據，都具有約束的作用。這是從ARP欺騙原理上進行的防范措施，也是最普遍應用的辦法。它對付最普通的ARP欺騙是有效的。 在路由器上做IP-MAC表的綁定工作，費時費力，是一項繁瑣的維護工作。換個網卡或更換IP，都需要重新配置路由,是網絡維護的巨大負擔。雙綁只是讓網絡的兩端電腦和路由不接收相關ARP信息，但是大量的ARP攻擊數據還是能發出，還要在內網傳輸，大幅降低內網傳輸效率，依然會出現問題。因此，雖然雙綁曾經是ARP防范的基礎措施，但

11、因為防范能力有限，管理太麻煩，現在它的效果越來越有限了。2) ARP個人防火墻 在一些殺毒軟件中加入了ARP個人防火墻的功能，它是通過在終端電腦上對網關進行綁定，保證不受網絡中假網關的影響，從而保護自身數據不被竊取的措施。ARP防火墻使用范圍很廣，ARP個人防火墻起到的作用，就是防止自己的數據不會被盜取，而整個網絡的問題，如掉線、卡滯等，ARP個人防火墻是無能為力的。 因此，ARP個人防火墻并沒有提供可靠的保證。最重要的是，它是跟網絡穩定無關的措施，它是個人的，不是網絡的。3) VLAN和交換機端口綁定 通過劃分VLAN和交換機端口綁定，以圖防范ARP，也是常用的防范方法。做法是細致地劃分VL

12、AN，減小廣播域的范圍，使ARP在小范圍內起作用，而不至于發生大面積影響。同時，一些網管交換機具有MAC地址學習的功能，學習完成后，再關閉這個功能，就可以把對應的MAC和端口進行綁定，避免了病毒利用ARP攻擊篡改自身地址。也就是說，把ARP攻擊中被截獲數據的風險解除了。這種方法確實能起到一定的作用。 但是實施交換機端口綁定，必定要全部采用高級的網管交換機、三層交換機，整個交換網絡的造價大大提高。 相對來說，這種方法是現今企業較常用，也是預防ARP攻擊的較有效的方法，但是因為交換網絡本身就是無條件支持ARP操作的，就是它本身的漏洞造成了ARP攻擊的可能，它上面的管理手段不是針對ARP的。因此，在

13、現有的交換網絡上實施ARP防范措施，屬于以子之矛攻子之盾。而且操作維護復雜。6.網絡視頻引發廣播風暴 部分視頻網絡傳輸設備為了便于網絡視頻點播，常常采用UDP的方式，以廣播數據包的形式對外進行發送，如果在專用網絡中也使用這種方式，很容易引發廣播風暴，導致網絡阻塞，因此必須通過相關設置來杜絕這類故障。 對策：將視頻網絡傳輸設備所連接的交換機端口進行一些設置，對設備本身的網絡傳輸模式以及傳送協議類型進行更改，消除網絡廣播風暴。四、廣播風暴實戰案例1.網絡環路引發廣播風暴Ø 故障描述 某日，部分部門反映應用系統無法使用，嚴重影響工作的正常有序運行，經查各地區網絡出現速度慢，并且時斷時續，所

14、有應用均不能正常使用。Ø 故障排除 首先檢查各地區間主干光纖傳輸鏈路是否正常，排除主干光纖傳輸鏈路問題，初步確定為廣播風暴導致，采用排除法，分別斷開各區域間主干傳輸鏈路，最終確定為某園區引發此次廣播風暴。迅速聯系該園區網絡管理員，檢查該園區網絡拓撲的最新變化，了解到某部門網絡拓撲昨日發生變化，新連接一臺集線器，增加了部分終端，目標鎖定，現場對該網絡拓撲進行檢查，發現集線器兩個端口由一根網絡跳線連接，形成環路引發廣播風暴，去除此跳線后，網絡恢復正常。Ø 故障分析及預防 此種故障影響面大，迅速，根據網絡拓撲新增和變化情況，較容易發現并排除。應建立完整的文檔，并及時更新網絡拓撲，

15、禁止私自變動網絡拓撲結構，應申請由網絡管理員完成，或采用不同顏色的級聯跳線，避免誤操作引發廣播風暴。2.病毒引發廣播風暴Ø 故障描述 某日，部分部門反映應用系統登錄速度慢，或提示連接應用系統錯誤，嚴重影響工作的正常有序進行，經查各地區網絡出現速度慢，并且時斷時續，所有應用均不能正常使用。Ø 故障排除 首先檢查各地區間主干光纖傳輸鏈路是否正常，排除主干光纖傳輸鏈路問題，登錄交換機，發現交換機間斷性重啟，導致網絡時斷時續，初步確定為廣播風暴，導致交換機的緩沖池溢出，交換機重啟。采用排除法，分別斷開各區域間主干傳輸鏈路，最終確定為某園區引發此次廣播風暴。檢查該園區網絡拓撲結構變化

16、情況，確定無變化，排除環路引發廣播風暴的可能，由此推斷可能是病毒引發風暴，但當時該園區劃分了二十多個VLAN，近300臺計算機終端，要在如此多終端中找出引發風暴的計算機終端并不是一件易事， 因此 我們采用Sniffer pro（協議類分析軟件）來檢測廣播風暴。Sniffer，又稱“嗅探器”，是一種基于被動偵聽原理的網絡分析方式，一種利用以太網的特性把網絡適配卡置為雜亂（promis-cuous）模式狀態的工具，一旦網卡設置為這種模式它就能接收傳輸在網絡上的每一個信息包，該網卡具備“廣播地址”它對所有遇到的每一個數據幀都產生一個硬件中斷以便提醒操作系統處理流經該物理媒體上的每一個報文包。使用這種

17、技術方式，可以監視網絡的狀態、數據流動情況以及網絡上傳輸的信息。這樣不管它的接受者或發送者，是不是運行Sniffer的主機，Sniffer將數據存入log文件，當信息以明文的形式在網絡上傳輸時，便可以使用網絡監聽的方式來進行攻擊。將網絡接口設置在監聽模式，便可以將網上傳輸的源源不斷的信息截獲。Sniffer工作在網絡環境中的底層，它會攔截所有的正在網絡上傳送的數據，并且通過相應的軟件處理，可以實時分析這些數據的內容，進而分析所處的網絡狀態和整體布局。值得注意的是：Sniffer是極其安靜的，它是一種消極的安全攻擊。Sniffer技術被廣泛地應用于網絡故障診斷、協議分析、應用性能分析和網絡安全保

18、障等各個領域。廣播風暴檢測地點內部網絡中心機房，使用網管專用筆記本電腦，Windows xp操作系統，安裝Sniffer pro軟件，接入核心交換機，其拓撲構建如下：流量監測拓撲構建示意圖 Sniffer PRO做為協議類分析軟件，可以檢測到廣播數據，并以更為人性化的圖表形式展現出來。為了確定產生風暴的原因，使用Sniffer 的另外一個流量監控功能Host Table，它可監控網絡中每臺計算機的流量狀況，包括每臺計算機收到的數據包數、數據包字節數、每臺計算機發出的數據包數、發出數據包的字節數、總的包數和總的字節數等流量信息。從而準確定位是哪臺機器在實施“廣播風暴”攻擊。我們使用Sniffer

19、中的主機列表功能，根據各vlan內計算機終端收到和發出的數據包字節數，以及廣播數據包的數量，查看網絡中哪些機器的流量最大，Sniffer 流量監測情況示意圖并結合矩陣就可以看出哪臺機器數據流量異常。Sniffer矩陣示意圖從而，在最短的時間內，判斷網絡的具體故障點，鎖定實施“廣播風暴”攻擊的計算機終端ip地址，根據ip地址對應表查找到該計算機終端，斷開該終端的網絡鏈接后，網絡恢復正常，對該終端實施升級病毒庫，進行全盤殺毒，清除掉所有病毒后，接入網絡，內部網絡運行正常，不再引發“廣播風暴”。Ø 故障分析及預防 此種故障由網絡內某臺計算機終端感染蠕蟲病毒引發，影響面大，迅速，故障點難于判斷，需采用流量監控類軟件，例如Sniffer pro來查找流量異常的故障點。此種故障應及時更新病毒庫，或在內部網絡部署網絡版殺毒軟件，定期進行全盤殺毒，在數據導入點部署單機版殺毒軟件，對所有導入數據進行殺毒操作，從根源上消除感染病毒的可能。五、廣播風暴-網管經驗總結 作為網絡管理員，在面對網絡廣播風暴發生時，要冷靜分析廣播風暴產生的原因，可使用二分法、排除法、替換法和網線插拔法等多種方法綜