打印本文 关闭窗口 | |
物理环路引起的广播风暴的案例分析 | |
作者:陈鹏 文章来源:eNet 点击数 更新时间:2009/9/11 23:32:52 文章录入:陈鹏 责任编辑:陈鹏 | |
|
|
下面就是一个实际发生的由于物理环路引起的网络瘫痪实例,该网络是一个100M以太网交换网络,由多台100M以太网交换机组成,当时网络性能突然下降,出现严重的丢包现象,网络管理员得用Sniffer进行了流量捕获,通过流量分析来分析网络突然瘫痪的原因,以下是实际的分析过程. 1、 总体流量分析 通过对总体流量的分析为确定网络中流量是否异常一般是我们进行分析的第一步,网络链路利用率过高、网络中数据包数过大都可能使网络性能下降并产生丢包,我们首先通过对捕获到数据包的统计分析来确定我们捕获的流量的一些总体信息,如下图所示。 通过Statisfics功能分析捕获文件中的基本信息 如图5-28所示,我们通过Statisfics功能了解一下捕获文件中流量的基本信息,我们可以得到如下基本流量信息。 链路带宽(捕获端口):100Mbps 利用率:70% 捕获到的总字节数:5.702.576 捕获到的总数据包数:74.606 每秒种数据包数:94.797 MAC广播包数:8.390 MAC组播包数:66.207 通过这些简单的信息,我们可以得知,捕获到的交换机流量很大,利用率很高,每秒钟数据包数很高,几乎达到了百兆以太网最大的数据包数,其中广播包各组播包数非常大,几乎所有的数据包都是MAC层的广播包和组播包。 显然网络中出现的广播风暴,而且广播包的数量非常大,通过Sniffer专家系统的智能分析我们也能清楚地看到这一点,见下图。 通过专家系统发现网络中的网络风暴 2、分析哪些主机大量发送广播数据包 我们需要分析这些广播包是由谁产生的,以及产生广播包的原因。借助Sniffer的分析功能我们进行进一步分析。 通过查看数据链路层主机的会话对分析哪些主机在大量发送广播包。 数据链路层会话流量分析 从数据链路层的会话来看,我们发现多个MAC地址发送大量广播数据包,其中最多的一台每秒发送近90.000广播数据包,最少的每秒一台每秒地向网络中发送600多个广播数据包,较为异常。 网络层会话流量分析 从网络层的会话分析中看,同样发现多个IP主机在向组播地址或广播发送大量的数据包。 同时多台主机大量发送广播包或组播包是一个很不正常的流量现象,这些主机为什么大量发送广播包或组播包需要进一步分析。 3、通过数据包解码进一步了解主机发送的广播包或组播包信息 通过数据包解码,主要是希望了解主机发送这些数据包的真实原因,是主机异常发包还是由于网络出现环路产生的广播风暴,由于大量的包是广播包,引起广播风暴的原因不是路由环路,很可能是物理环路引起的,我们可以通过IP包的ID值进行一判定。如下图所示。 解码分析出现大量广播包原因 通过对某台IP主机发送的广播包的解码分析我们可以看到,这些数据包的ID相同,TTL值并没有减小,数据包间隔时间很短,这些现象是典型的网络中存在物理环路的特征。 |
|
打印本文 关闭窗口 |