劉易

摘 要： 為了解決網(wǎng)絡(luò)廣播風(fēng)暴引起機房主機訪問網(wǎng)站速度慢的問題，使用科來網(wǎng)絡(luò)分析系統(tǒng)對網(wǎng)絡(luò)流量、協(xié)議、數(shù)據(jù)包等進行分析，并結(jié)合ARP欺騙、ARP掃描、蠕蟲、網(wǎng)絡(luò)路由環(huán)路和物理環(huán)路的不同表征，逐一排查ARP病毒、蠕蟲、網(wǎng)絡(luò)路由環(huán)路三個可能導(dǎo)致廣播風(fēng)暴的原因，最終定位廣播風(fēng)暴是由網(wǎng)絡(luò)物理環(huán)路和交換機配置錯誤所導(dǎo)致。通過修改交換機配置和網(wǎng)絡(luò)拓?fù)涞姆绞奖苊饩W(wǎng)絡(luò)廣播風(fēng)暴，使機房主機訪問網(wǎng)站速度恢復(fù)正常。

關(guān)鍵詞： 網(wǎng)絡(luò)分析工具； 故障排除； 局域網(wǎng)； 廣播風(fēng)暴； ARP病毒

中圖分類號：TP393.1 文獻標(biāo)志碼：A 文章編號：1006-8228（2014）10-35-03

Solving LAN broadcast storm problem by applying network analysis tools

Liu Yi

（Beijing Information Technology College， Computer Engineering Department， Beijing 100018， China）

Abstract： To solve the problems of low website access speed which was caused by broadcast storm， the YOKLA network analysis system has been used to analyze the network flow， protocol and data packet. Three possible causes of broadcast storms which are ARP viruses， worms， network routing loop are excluded according to their different characteristics. On the basis of the above analysis， the problem of broadcast storm has been narrowed down to the physical network loops and switch configuration error. Having identified the problem， the network broadcast storm has been solved by modifying switch configuration and changing network topology. The website access speed has returned to normal.

Key words： network analysis tool； troubleshooting； LAN； broadcast storm； ARP viruses

0 引言

網(wǎng)絡(luò)速度慢是網(wǎng)絡(luò)管理中較常見并且也是較難處理的問題之一。為了能夠更有效地進行網(wǎng)絡(luò)維護，本文利用一款網(wǎng)絡(luò)分析工具“科來網(wǎng)絡(luò)分析系統(tǒng)”來分析學(xué)校機房網(wǎng)絡(luò)管理中碰到的影響網(wǎng)速的原因。

某學(xué)院機房的基本網(wǎng)絡(luò)拓?fù)淙鐖D1所示，該機房分為12組，每組計算機通過一個二層交換機，連接到機房的三層交換機，匯聚后連接到學(xué)院的核心交換機，最后通過防火墻上網(wǎng)。該機房為網(wǎng)絡(luò)設(shè)備實訓(xùn)室，學(xué)生經(jīng)常在該機房進行組網(wǎng)實驗。起初機房運行環(huán)境良好，一個月后，該機房上網(wǎng)速度變慢，有時甚至不能上網(wǎng)，為了解決該問題，我們借助網(wǎng)絡(luò)分析工具“科來網(wǎng)絡(luò)分析系統(tǒng)”來解決該機房的上網(wǎng)問題。

1 故障現(xiàn)象描述

學(xué)院網(wǎng)絡(luò)主要分為教工網(wǎng)和學(xué)生網(wǎng)兩部分，該故障主要出現(xiàn)在學(xué)生網(wǎng)。學(xué)生的實驗操作若改變了機房環(huán)境，就容易導(dǎo)致網(wǎng)絡(luò)故障。該機房的主要故障為訪問常用門戶網(wǎng)站的延時達(dá)到了510ms左右，大大超過了用戶可忍受的等待時間。若關(guān)掉機房的二層交換機，僅用一臺主機直接接在學(xué)院的核心交換機CS&Firewall上，該主機能夠直接訪問外網(wǎng)，網(wǎng)頁訪問速度為100ms，屬正常范圍。

圖1 機房網(wǎng)絡(luò)拓?fù)涫疽鈭D

2 分析方案設(shè)計

2.1 分析目標(biāo)

根據(jù)上述現(xiàn)象，確認(rèn)Internet上網(wǎng)問題是由機房內(nèi)部局域網(wǎng)所導(dǎo)致。通常，引起網(wǎng)絡(luò)速度慢的原因有以下幾種：網(wǎng)絡(luò)環(huán)路引起的廣播風(fēng)暴、蠕蟲病毒攻擊、流量異常占用、服務(wù)器響應(yīng)速度慢等。為了研究門戶網(wǎng)站的訪問速度問題，我們捕獲機房的數(shù)據(jù)流來進行分析。

2.2 分析設(shè)備部署

在機房的三層交換機上部署分析設(shè)備。如圖2所示，將三層交換機DS1的f0/24口連接安裝了科來網(wǎng)絡(luò)分析系統(tǒng)的服務(wù)器，鏡像三層交換機上的所有流量到f0/24口，捕獲所有訪問Internet的流量并進行分析。

圖2 科來網(wǎng)絡(luò)分析系統(tǒng)的部署

2.3 分析思路

查看網(wǎng)絡(luò)統(tǒng)計，發(fā)現(xiàn)網(wǎng)絡(luò)的總流量為23.880MB，其中8.783MB都是廣播流量。占到總流量的40%，且數(shù)據(jù)包達(dá)到136，235個，遠(yuǎn)遠(yuǎn)大于正常情況的廣播數(shù)據(jù)包數(shù)目。據(jù)此，確定排錯思路如下：第一步，檢查網(wǎng)絡(luò)環(huán)境中是否存在主機感染病毒，如ARP掃描、ARP欺騙和蠕蟲的情況；第二步，檢查網(wǎng)絡(luò)環(huán)境中是否存在網(wǎng)絡(luò)配置不當(dāng)導(dǎo)致網(wǎng)絡(luò)環(huán)路。

3 故障定位

3.1 定位故障是否為病毒引起

3.1.1 病毒特征分析

根據(jù)上述現(xiàn)象，我們認(rèn)為導(dǎo)致網(wǎng)絡(luò)風(fēng)暴的病毒一般屬于蠕蟲或者攻擊類的病毒，通過分析病毒的特征，進行特征比對。

⑴ 蠕蟲類病毒

蠕蟲病毒是一種常見的計算機病毒。它主要利用網(wǎng)絡(luò)進行復(fù)制和傳播。由于其感染方式多樣化且傳播速度非?？?，對網(wǎng)絡(luò)及主機的影響非常大。

蠕蟲病毒表現(xiàn)特征是網(wǎng)絡(luò)層會有大量的主機會話，大多是發(fā)包，每個會話流量很少；連接層的連接很多，大多是發(fā)出的TCP SYN包，大部分沒有得到響應(yīng)或被拒絕；總體流量的特征是發(fā)包數(shù)量遠(yuǎn)大于收包數(shù)量[1]。

⑵ ARP病毒

ARP協(xié)議是TCP/IP協(xié)議組的一個協(xié)議，能夠把網(wǎng)絡(luò)地址翻譯成物理地址。ARP病毒屬于木馬類病毒，一般表現(xiàn)為廣播域內(nèi)的計算機無法正確獲得網(wǎng)關(guān)和其他客戶機網(wǎng)卡的真實MAC地址，導(dǎo)致無法進行正常的網(wǎng)絡(luò)通信。ARP病毒對電腦用戶私密信息的威脅很大[2]。ARP病毒主要有兩種類型，即ARP掃描病毒和ARP欺騙攻擊。ARP掃描病毒是指發(fā)送大量ARP請求，掃描本網(wǎng)段內(nèi)的MAC地址，消耗交換機資源；ARP欺騙攻擊是指通過主動發(fā)送大量ARP響應(yīng)實現(xiàn)地址欺騙，從而獲取其他主機通訊信息[3]。

3.1.2 結(jié)合機房環(huán)境情況分析

首先查看網(wǎng)絡(luò)中是否存在ARP欺騙，在圖3中發(fā)現(xiàn)有太多ARP的主動應(yīng)答診斷，定位到源MAC地址00：23：34：AB：ED：7C，發(fā)現(xiàn)該源地址是CS&firewall交換機的端口地址，查看數(shù)據(jù)包（圖4）發(fā)現(xiàn)，該數(shù)據(jù)包為網(wǎng)關(guān)10.32.45.254回應(yīng)局域網(wǎng)中PC機的ARP響應(yīng)包，且響應(yīng)的包個數(shù)僅14個，由此判斷該局域網(wǎng)中不存在ARP欺騙。

圖3 診斷條目

圖4 數(shù)據(jù)包視圖

通過圖5協(xié)議視圖查看ARP請求與響應(yīng)的數(shù)據(jù)包發(fā)現(xiàn)，ARP請求和響應(yīng)的數(shù)據(jù)包個數(shù)相差較大。而正常情況下，這兩種數(shù)據(jù)包的流量以及數(shù)據(jù)包的個數(shù)相差不會很大，而此處的數(shù)據(jù)包比例為123，237：4，231，這是比較異常的現(xiàn)象，懷疑有ARP掃描的可能性。

查看ARP數(shù)據(jù)包的內(nèi)容發(fā)現(xiàn)，這些ARP請求的內(nèi)容均為“誰是192.168.1.200？告訴192.168.1.200”。這不符合ARP掃描的原理。ARP掃描應(yīng)該是遍歷局域網(wǎng)的每個IP，使用ARP廣播發(fā)送相關(guān)的請求信息，然后與請求IP地址相同的主機回復(fù)ARP掃描的機器。因為捕獲的數(shù)據(jù)ARP請求都是詢問192.168.1.200這個IP地址，所以可以判斷該局域網(wǎng)中不存在ARP掃描。

報文中大量的ARP請求報文屬于異?，F(xiàn)象，且詢問的內(nèi)容是本交換機的IP地址，且有兩個不同的MAC地址發(fā)出這種ARP請求包。繼續(xù)查看數(shù)據(jù)包的內(nèi)容發(fā)現(xiàn)，上述兩個MAC地址均屬于福建星網(wǎng)銳捷通訊股份有限公司，初步判斷該MAC地址屬于銳捷交換機的地址。

該機房的三層交換機為銳捷交換機，查看配置發(fā)現(xiàn)，該交換機中出現(xiàn)了“ARP-4-DUPADDR：Duplicate address 92.168.1.200 on VLAN 1，sourced by 00a1.a916.d51d”的警告，并發(fā)現(xiàn)銳捷的交換機的VLAN 1接口配置了192.168.1.200的IP地址。該機房有兩臺銳捷交換機，連接方式為級聯(lián)，兩臺交換機上VLAN 1接口均配置了192.168.1.200的IP地址，由此判斷，出現(xiàn)ARP掃描的192.168.1.200，為交換機配置錯誤所導(dǎo)致。

接下來排除網(wǎng)絡(luò)中是否存在蠕蟲病毒。通過IP端點定位網(wǎng)絡(luò)流量最大兩臺主機10.32.45.222和10.32.45.221。通過對這兩臺主機進行分析，分別查看TCP數(shù)據(jù)包的情況發(fā)現(xiàn)，TCP數(shù)據(jù)包均正常，沒有出現(xiàn)發(fā)包遠(yuǎn)大于接收包的情況，根據(jù)蠕蟲病毒表現(xiàn)特征判斷該網(wǎng)絡(luò)中沒有蠕蟲病毒。

3.2 定位網(wǎng)絡(luò)環(huán)路

⑴ 網(wǎng)絡(luò)環(huán)路的原理

網(wǎng)絡(luò)環(huán)路分為網(wǎng)絡(luò)物理環(huán)路（第二層環(huán)路）和網(wǎng)絡(luò)路由環(huán)路（第三層環(huán)路），所有環(huán)路的形成都是由于目的路徑不明確導(dǎo)致混亂而造成的。網(wǎng)絡(luò)路由環(huán)路主要是指同一個數(shù)據(jù)包在路由器間循環(huán)傳輸最終丟掉。由于路由實際上是不可達(dá)的，IP包的TTL值在傳輸過程中不斷減小直至1。路由器在丟掉數(shù)據(jù)包時會向源地址發(fā)送ICMP數(shù)據(jù)包。網(wǎng)絡(luò)物理環(huán)路主要是指同一個數(shù)據(jù)包在兩臺設(shè)備間無限循環(huán)傳輸，不丟棄。循環(huán)廣播報文形成廣播風(fēng)暴，導(dǎo)致整個網(wǎng)絡(luò)阻塞。

⑵ 結(jié)合機房環(huán)境情況分析

查看數(shù)據(jù)包中的內(nèi)容發(fā)現(xiàn)，診斷視圖中沒有TCP重傳的數(shù)據(jù)包。網(wǎng)絡(luò)路由環(huán)路的條件是大量TCP/UDP數(shù)據(jù)包中的數(shù)據(jù)包中的所有字段值都是相同的，如IP標(biāo)識、TCP序列號、TCP確認(rèn)號，并且同一個數(shù)據(jù)包的TTL為第一個值逐漸減到1，且需要有ICMP協(xié)議返回給服務(wù)器。通過查看數(shù)據(jù)包發(fā)現(xiàn)沒有上述情況，因此判斷該機房沒有網(wǎng)絡(luò)路由環(huán)路。

通過上述分析，了解到網(wǎng)絡(luò)中沒有ARP掃描，沒有ARP欺騙，而且不存在網(wǎng)絡(luò)路由環(huán)路。因為門戶網(wǎng)站的訪問問題出現(xiàn)在學(xué)生實驗之后，回溯該機房實驗前后的網(wǎng)絡(luò)監(jiān)控情況發(fā)現(xiàn)，實驗前該機房的廣播流量僅為每秒12個包，而實驗之后每秒廣播數(shù)據(jù)包數(shù)達(dá)到61220個。

據(jù)此可以初步判斷網(wǎng)絡(luò)廣播是由于網(wǎng)絡(luò)物理環(huán)路所導(dǎo)致。

3.3 深入分析與結(jié)論

⑴ 網(wǎng)絡(luò)物理環(huán)路的表現(xiàn)特征

物理環(huán)路會導(dǎo)致ARP請求風(fēng)暴，通過科來網(wǎng)絡(luò)分析系統(tǒng)發(fā)現(xiàn)請求風(fēng)暴警告達(dá)到5519條，除此之外，網(wǎng)絡(luò)中同時伴隨大量的ARP請求數(shù)據(jù)包出現(xiàn)，達(dá)到123，236個ARP請求數(shù)據(jù)包。由于找不到目標(biāo)MAC的ARP請求數(shù)據(jù)包被交換機重復(fù)轉(zhuǎn)發(fā)，造成死循環(huán)，并引起ARP請求風(fēng)暴，導(dǎo)致機房的計算機上網(wǎng)速度緩慢，流量被ARP請求風(fēng)暴占用。科來網(wǎng)絡(luò)分析系統(tǒng)中出現(xiàn)大量TCP重復(fù)的連接嘗試和TCP慢應(yīng)答的警告都是由物理環(huán)路所引起的。廣播地址10.32.45.255發(fā)送的數(shù)據(jù)包頻率很高，在毫秒級；且向廣播地址10.32.45.255發(fā)送的數(shù)據(jù)包的參數(shù)IP ID的值相同，TTL不變。上述分析完全符合交換機被物理環(huán)路的表現(xiàn)特征，因此確定機房的網(wǎng)絡(luò)風(fēng)暴是由于交換機被物理環(huán)路所導(dǎo)致。

⑵ 交換機的配置

經(jīng)過檢查發(fā)現(xiàn)，學(xué)生實驗之后，將一根線的兩端連接在了同一臺二層交換上，如圖6所示，將f0/13和f0/14直接連接。經(jīng)檢查，該交換機上的生成樹spanning-tree協(xié)議沒有啟用，在交換機存在物理環(huán)路的情況下沒有阻塞其中的某一個端口，從而導(dǎo)致數(shù)據(jù)被重復(fù)轉(zhuǎn)發(fā)。

圖6 交換機線纜錯誤連接

4 故障解決

4.1 針對三層銳捷交換機IP地址沖突的問題

將其中一臺三層銳捷交換機上VLAN 1接口的IP地址設(shè)置為192.168.1.201，這樣就解決了網(wǎng)絡(luò)中出現(xiàn)ARP掃描警告的問題。為了避免廣播風(fēng)暴，啟用兩臺交換機spanning-tree協(xié)議，使用spanning-tree enable。修改配置后，發(fā)現(xiàn)網(wǎng)絡(luò)中的ARP請求報文減少，網(wǎng)絡(luò)中沒有出現(xiàn)大量的ARP請求報文。

4.2 針對二層思科交換機網(wǎng)絡(luò)物理環(huán)路的問題

在二層思科交換機上啟用生成樹spanning-tree協(xié)議，spanning-tree enable。并恢復(fù)實驗環(huán)境，將錯誤的接線拆除，至此網(wǎng)絡(luò)速度恢復(fù)。使用科來網(wǎng)絡(luò)分析系統(tǒng)，重新監(jiān)測網(wǎng)絡(luò)，發(fā)現(xiàn)廣播流量每秒包數(shù)恢復(fù)到15個，網(wǎng)絡(luò)環(huán)境恢復(fù)正常。

5 結(jié)束語

機房在網(wǎng)絡(luò)運維中出現(xiàn)了很多問題，其中較常見的問題是學(xué)生錯誤連接線纜導(dǎo)致廣播風(fēng)暴的問題。本文通過科來網(wǎng)絡(luò)分析系統(tǒng)收集的報文信息，從網(wǎng)絡(luò)環(huán)路、蠕蟲病毒攻擊、ARP掃描和欺騙三種方面分析網(wǎng)絡(luò)特征，并通過特征比對，快速定位出網(wǎng)絡(luò)故障，從而解決機房訪問門戶網(wǎng)站速度慢的問題。門戶網(wǎng)站訪問速度問題比較復(fù)雜，在網(wǎng)絡(luò)管理中需要理解特殊的網(wǎng)絡(luò)特征和參數(shù)，并逐一排查，從而正確定位故障并解決問題。

參考文獻：

[1] 科來軟件.CSNA網(wǎng)絡(luò)分析認(rèn)證專家實戰(zhàn)案例[M].西安電子科技大

學(xué)出版社，2013.

[2] 李曉杰，徐峰，盧斌.ARP病毒的方法與措施[J].煤炭技術(shù)，2007.26

（9）：109

[3] 馬宜興.網(wǎng)絡(luò)安全與病毒防范（第5版）[M].上海交通大學(xué)出版社，

2011.

[4] 陳忠平.網(wǎng)絡(luò)安全（網(wǎng)管天下）[M].清華大學(xué)出版社，2011.

[5] （美）艾倫，陳征等譯.網(wǎng)絡(luò)工程師維護和故障排除手冊（原書第2版）[M].

機械工業(yè)出版社，2010.