網絡通信
要理解什麼是廣播風暴,就必須先理解網絡通信技術。網絡上的一個節點,它發送一個數據幀或包,被傳輸到由廣播域定義的本地網段上的每個節點就是廣播。
網絡廣播分為第2層廣播和第3層廣播。第2層廣播也稱硬件廣播,用于在局域網内向所有的結點發送數據,通常不會穿過局域網的邊界(路由器),除非它變成一個單播。廣播将是一個二進制的全1或者十六進制全F的地址。而第3層廣播用于在這個網絡内向所有的結點發送數據。第3層廣播也支持平面的老式廣播。
廣播信息是指以某個廣播域所有主機為目的的信息。這些被稱為網絡廣播,它們所有的主機位均為ON。硬件組播(multicasting)是一種多點投遞的形式,它使用硬件技術,通過使用大量組播地址來通信。當某一組機器需要通信時,選擇一個組播地址,并配置好相應的網絡接口硬件,識别組播地址,從而收到該組播地址上分組的拷貝。
廣播(broadcasting)是多點投遞的最普遍的形式,它向每一個目的站投遞一個分組的拷貝。它可以通過多個單次分組的投遞完成,也可以通過單獨的連接傳遞分組的拷貝,直到每個接收方均收到一個拷貝為止。在多數網絡中,用戶是通過把分組分送給一個特殊保留的地址即廣播地址(broadcast address)來進行廣播投遞,它的主要缺點是會耗費大量的主機資源和網絡資源。
單播(unicasting)是指隻有一個目的地的數據報傳遞。從投遞目的地的數量而言,單播和廣播均可看作是組播的一個子集。單播可以看作僅包括一台機器群組的組播;廣播可以看作包含了所有機器群組的組播。但從數據報的投遞方式而言,單播、廣播和組播還是有較大的區别。
硬件基礎
要想正确理解廣播風暴的具體含義,必須了解一下工作在網絡中的網絡設備的工作原理。工作在網絡中的網絡設備,基本上都是交換機了。
基本常識
交換機的定義:交換機是一種基于MAC(網卡的地址硬件)識别,能完成封裝轉發數據包功能的網絡設備。交換機可以“學習”MAC地址,并把其存放在内部地址表中,通過在數據幀的始發者和目标接收者之間建立臨時的交換路徑,使數據幀直接由源地址到達目的地址。集線器,又稱Hub。但是這并不意味着,我們不需要了解Hub的基本知識。
集線器的定義:集線器(HUB)屬于數據通信系統中的基礎設備,它和雙絞線等傳輸介質一樣,是一種不需任何軟件支持或隻需很少管理軟件管理的硬件設備。它被廣泛應用到各種場合。集線器工作在區域網路(LAN)環境,像網卡一樣,應用于OSI參考模型第一層,因此又被稱為物理層設備。集線器内部采用了電器互聯,當維護LAN的環境是邏輯總線或環型結構時,完全可以用集線器建立一個物理上的星型或樹型網路結構。在這方面,集線器所起的作用相當于多連接埠的中繼器。其實,集線器實際上就是中繼器的一種,其區别僅在于集線器能夠提供更多的連接埠服務,所以集線器又叫多口中繼器。
區别
經常會存在這樣一個技術誤區,網絡中使用的是交換機,數據全部是點對點轉發的,為什麼還會産生廣播風暴呢?在充分了解了交換機與集線器的功能區别後,人們就會明白,使用交換機作為網絡設備的網絡,為什麼會出現廣播風暴。用集線器組成的網絡稱為共享式網絡,而用交換機組成的網絡稱為交換式網絡。共享式以太網存在的主要問題是所有用戶共享帶寬,每個用戶的實際可用帶寬随網路用戶數的增加而遞減。
這是因為當資訊繁忙時,多個用戶可能同時“争用”一個信道,而一個信道在某一時刻隻允許一個用戶占用,所以大量的用戶經常處于監測等待狀态,緻使信号傳輸時産生抖動、停滞或失真,嚴重影響了網絡的性能。在交換式以太網中,交換機提供給每個用戶專用的資訊通道,除非兩個源連接埠企圖同時将資訊發往同一個目的連接埠,否則多個源連接埠與目的連接埠之間可同時進行通信而不會發生沖突。
通過實驗測得,在多服務器組成的LAN中,處于半雙工通信模式下的交換式以太網的實際最大傳輸速度是共享式網路的1.7倍,而工作在全雙工狀态下的交換式以太網的實際最大傳輸速度可達到共享式網路的3.8倍。交換機隻是在工作方式上與集線器不同,其他的如連接方式、速度選擇等與集線器基本相同,交換機同樣從速度上分為10M、100M和1000M幾種,所提供的連接埠數多為8口、16口和24口幾種。交換機在區域網路中主要用于連接工作站、Hub、服務器或用于分散式主幹網。
ARP攻擊
基本定義:
ARP(Address Resolution Protocol,地址解析協議)是一個位于TCP/IP協議棧中的底層協議,對應于數據鍊路層,負責将某個IP地址解析成對應的MAC地址。
基本功能:
ARP協議的基本功能就是通過目标設備的IP地址,查詢目标設備的MAC地址,以保證通信的進行。
攻擊原理:
ARP攻擊就是通過僞造IP地址和MAC地址實現ARP欺騙,能夠在網絡中産生大量的ARP通信量使網絡阻塞,攻擊者隻要持續不斷的發出僞造的ARP響應包就能更改目标主機ARP緩存中的IP-MAC條目,造成網絡中斷或中間人攻擊。
ARP攻擊主要是存在于局域網網絡中,局域網中若有一台計算機感染ARP木馬,則感染該ARP木馬的系統将會試圖通過“ARP欺騙”手段截獲所在網絡内其它計算機的通信信息,并因此造成網内其它計算機的通信故障。
某機器A要向主機B發送報文,會查詢本地的ARP緩存表,找到B的IP地址對應的MAC地址後,就會進行數據傳輸。如果未找到,則A廣播一個ARP請求報文(攜帶主機A的IP地址Ia——物理地址Pa),請求IP地址為Ib的主機B回答物理地址Pb。網上所有主機包括B都收到ARP請求,但隻有主機B識别自己的IP地址,于是向A主機發回一個ARP響應報文。其中就包含有B的MAC地址,A接收到B的應答後,就會更新本地的ARP緩存。接着使用這個MAC地址發送數據(由網卡附加MAC地址)。因此,本地高速緩存的這個ARP表是本地網絡流通的基礎,而且這個緩存是動态的。
對策
激活防止ARP病毒攻擊。在路由器中打開該選項,或者為計算機安裝防範ARP攻擊的軟件,如360安全衛士的局域網ARP攻擊攔截的保護功能等;對局域網内每一台計算機綁定網關的IP和其mac地址;給每一台計算機安裝最新補丁,最好通過在局域網内架設補丁服務器(WSUS)來确保每一台計算機都能打上最新的補丁程序,如關鍵更新、安全更新和Service Pack;給系統管理員帳戶設置足夠複雜的強密碼;經常更新殺毒軟件的病毒庫和網絡軟件防火牆的規則庫;關閉一些不需要的服務;不随意點擊聊天工具裡出現的超鍊接、郵件的附件和來曆不明的程序。
網絡視頻
部分視頻網絡傳輸設備為了便于網絡視頻點播,常常采用UDP的方式,以廣播數據包的形式對外進行發送,如果在專用網絡中也使用這種方式,很容易引發廣播風暴,導緻網絡阻塞,因此必須通過相關設置來杜絕這類故障。
對策:将視頻網絡傳輸設備所連接的交換機端口進行一些設置,對設備本身的網絡傳輸模式以及傳送協議類型進行更改,消除網絡廣播風暴。
惡劣環境
如不合适的溫度、濕度、震動和電磁幹擾等,尤其是電磁幹擾比較嚴重的環境下,同樣也有可能會使網絡變得不穩定,造成數據傳輸錯誤,引發廣播風暴。
對策:要嚴格執行接地要求,特别是涉及遠程線路的網絡轉接設備,否則達不到規定的連接速度,導緻在聯網過程中産生莫名其妙的故障;另外在建網之初必須考慮盡量避免計算機或者網絡介質直接暴露強磁場中,如電磁爐、高壓電纜、電源插頭處等等;定期對計算機進行清潔工作。
形成原因
幀的傳輸方式,即單播幀(Unicast Frame)、多播幀(Multicast Frame)和廣播幀(Broadcast Frame)。
1、單播幀
單播幀也稱“點對點”通信。此時幀的接收和傳遞隻在兩個節點之間進行,幀的目的MAC地址就是對方的MAC地址,網絡設備(指交換機和路由器)根據幀中的目的MAC地址,将幀轉發出去。
2、多播幀
多播幀可以理解為一個人向多個人(但不是在場的所有人)說話,這樣能夠提高通話的效率。多播占網絡中的比重并不多,主要應用于網絡設備内部通信、網上視頻會議、網上視頻點播等。
3、廣播幀
廣播幀可以理解為一個人對在場的所有人說話,這樣做的好處是通話效率高,信息一下子就可以傳遞到全體。在廣播幀中,幀頭中的目的MAC地址是“FF.FF.FF.FF.FF.FF”,代表網絡上所有主機網卡的MAC地址。
廣播幀在網絡中是必不可少的,如客戶機通過DHCP自動獲得IP地址的過程就是通過廣播幀來實現的。而且,由于設備之間也需要相互通信,因此在網絡中即使沒有用戶人為地發送廣播幀,網絡上也會出現一定數量的廣播幀。
同單播和多播相比,廣播幾乎占用了子網内網絡的所有帶寬。網絡中不能長時間出現大量的廣播幀,否則就會出現所謂的“廣播風暴”(每秒的廣播幀數在1000以上)。拿開會打一個比方,在會場上隻能有一個人發言,如果所有人都同時發言的話,會場上就會亂成一鍋粥。廣播風暴就是網絡長時間被大量的廣播數據包所占用,使正常的點對點通信無法正常進行,其外在表現為網絡速度奇慢無比。出現廣播風暴的原因有很多,一塊故障網卡就可能長時間地在網絡上發送廣播包而導緻廣播風暴。
使用路由器或三層交換機能夠實現在不同子網間隔離廣播風暴的作用。當路由器或三層交換機收到廣播幀時并不處理它,使它無法再傳遞到其他子網中,從而達到隔離廣播風暴的目的。因此在由幾百台甚至上千台電腦構成的大中型局域網中,為了隔離廣播風暴,都要進行子網劃分。
使用vlan完全可以隔離廣播風暴。
經驗總結
作為網絡管理員,在面對網絡廣播風暴發生時,要冷靜分析廣播風暴産生的原因,可使用二分法、排除法、替換法和網線插拔法等多種方法綜合運用,一步一步地進行故障排除,快速定位引發廣播風暴的故障點,查出引發廣播風暴的原因,及時采取相應措施來消滅廣播風暴。總的來看,要解決廣播風暴的問題,可以從以下幾個方面入手:
一、在局域網中安裝WSUS補丁服務器,保證局域網所有計算機都能及時打上最新的補丁。
二、最好在局域網内安裝網絡版的防毒服務器,如無條件,起碼也得保證單機版的防毒軟件的病毒庫是經常更新的。
三、檢查每一台計算機的網卡、網線和交換機的每一個端口,檢查是否有故障。
四、當廣播風暴發生時,觀察交換機的指示燈不啻為很好的方法,可直接觀察網絡連通性及網絡流量。
要避免廣播風暴,可以采用恰當劃分VLAN、縮小廣播域、隔離廣播風暴,還可在千兆以太網口上啟用廣播風暴控制,最大限度地避免網絡再次陷入癱瘓。當端口接受到大量的廣播、單播或組播的包時,就會發生廣播風暴。轉發這些包會導緻網絡速度變慢或超時,在交換機上借助對端口的廣播風暴控制可以有效避免硬件損壞或鍊路故障導緻的廣播風暴的網絡癱瘓。
從實際經驗來看,90%以上的網絡廣播風暴是病毒所緻,因此,在局域網中配備防病毒系統,購置IDS入侵檢測系統、網絡流量檢測工具等,以加強網絡病毒的防治,加強對網絡線路運行狀态的監控,及時發現和處理網絡上的異常流量和病毒攻擊等問題,并制定計算機安全管理制度,确保網絡線路的正常運行。
