用科来网络分析系统监控广播风暴

徐徐渐进 · 发表于 2008-3-5 13:55:29

网络风暴产生的原因

网络不正确的设计和规划。
网络设备或者设备的损坏；HUB做为广播设备本身容易导致；网卡或者交换设备的损坏也可能产生广播风暴。
网络环路；路由配置错误，或者在没有启用STP的交换设备上出现“两端”同时接入错误。
其它：网络病毒本身具有感染后向网内大量扩散传播的特性，也可导致广播风暴。

广播风暴的检测

Step1　建立广播数据包过滤器
点开“过滤器-从过滤器列表”，选择“Broadcast”。如图1。

（图1 科来网络分析系统过滤器设置）

Step２　检测广播风暴的相关参数
用科来网络分析系统进行捕包（由于已经建立好广播包过滤器，这里所捕获的数据全是广播数据包），然后统计相应的参数。如图2。

（图2 广播数据统计视图）

1．统计参数

广播数据包字节数
广播数据总数
每秒包个数
数据包大小分布
协议类型
……（根据自身的网络添加）

怎样利用这些参数

我们这里以100M以太网为例，100M网络每秒的最大数据为12.5M*1024=12800Byte/S。如果网络中广播数据包的每秒数接近或大于此值，网络就存在“广播风暴”了。
数据包的总数、个数以及大小的分布，根根网络的大小而不尽相同，如果发现根网络正常时的值相差较大，也要引起注意。
协议类型主要是统计所占流量最大的协议。这里要注意区分ARP请求与ARP应答的关系，ARP请求是广播，而ARP应答是单播；如果通过过滤器捕获到ARP协议占用了较大的流量，那网络中就存在“ARP扫描”，此时我们可以切换到“诊断”视图进行定位。

2．数据包的IPID标识

我们知道，IPID唯一的标识了数据报或数据报的流；如果网络某一协议所占的流量大，我们可以通过“数据包”视图来查看它的IPID，如果相同，那我们可以判断影响当前网络运行是由网络环路造成的。如图3。

（图3 数据包的IPID）
在当前，网络环路是造成广播风暴的主要原因之一。

3．查看网络利用率（如图4、图5）

（图4　网络利用率）

（图5　网络利用率）

怎样利用网络利用率参数

利用率分为位利用率和利用率百分比，我们来看一下网络利用率的计算过程：网络中的实时流量即每秒位数（在“概要视图”中查看）除以网络带宽（100M以太网或1000M以太网）。通常在以太网中，利用率达到50％就已经是非常好的网络了，所以如果广播数据包的利用率达到30％以上，也就是说在100M以太网中广播数据达到30M/S时，那网络中就存在“广播风暴”了。

　　　　　　　　　　　　　　　　　　　　　　　　　　

[ 本帖最后由徐徐渐进于 2008-3-5 14:10 编辑 ]

oldjiang · 发表于 2008-3-5 15:46:01

广播数据包过滤器，非常好

wukongszs · 发表于 2008-3-5 15:51:19

学到新知识了~~谢谢啊

从零开始 · 发表于 2008-3-5 17:29:20

有一点疑问，请楼主解答一下：
1.100M网络每秒的最大数据为12.5M，这是怎么得来的？
2.“通常在以太网中，利用率达到50％就已经是非常好的网络了，所以如果广播数据包的利用率达到30％以上，也就是说在100M以太网中广播数据达到30M/S时，那网络中就存在“广播风暴”了。”这个不太理解。
谢谢！

oldjiang · 发表于 2008-3-5 18:30:01

100Mbps/8=12.5MBps，是这个意思吧？不过不知道有没有Bps这个单位。

[ 本帖最后由 oldjiang 于 2008-3-5 20:53 编辑 ]

徐徐渐进 · 发表于 2008-3-5 20:50:21

原帖由 从零开始 于 2008-3-5 17:29 发表
有一点疑问，请楼主解答一下：
1.100M网络每秒的最大数据为12.5M，这是怎么得来的？
2.“通常在以太网中，利用率达到50％就已经是非常好的网络了，所以如果广播数据包的利用率达到30％以上，也就是说在100M以太网中 ...

1.100M/8=12.5M。因为1byte=8bit，我们常说的100M以太网，是以bit为单位的。
2.通常，每个网络利用率的高低跟网络中很多因素有关如网线质量、设备性能等，所以这个值没有定准；这里只是跟据自已的经验给出的一个值而已。

webshare · 发表于 2008-3-6 07:53:59

学到了。。。。谢谢楼主。。。。。

acqua_23 · 发表于 2008-3-12 10:26:02

谢谢楼主提供详尽的资料图文并茂

haonana · 发表于 2008-3-17 18:10:28

不错的资料,学习了,谢谢分享

catvpower · 发表于 2008-3-19 10:34:53

谢谢楼主提供详尽的资料图文并茂

craft001wen · 发表于 2008-3-20 09:20:29

因为显示的是网络利用率
请教一下楼主，那如何查局域网内哪台机器占用的带宽最大呢？

徐徐渐进 · 发表于 2008-3-20 10:11:07

原帖由 craft001wen 于 2008-3-20 09:20 发表
因为显示的是网络利用率
请教一下楼主，那如何查局域网内哪台机器占用的带宽最大呢？

可以通过端点视图中的相关参数来查看。如流量、每秒位等。

yinke · 发表于 2008-3-25 00:12:34

谢谢楼主提供详尽的资料图文并茂

liuheliuxi · 发表于 2008-3-26 09:20:54

郁闷，广播协议和数据包的IPID标识都没有在技术交流版里面找到，学了也用不了

徐徐渐进 · 发表于 2008-3-26 09:39:18

To:14#

IPID与版本是没有任何关系的。不是每个数据包都有IPID标识，如ARP数据包。
不知你说的是那种情况。

zhuyong0523 · 发表于 2008-5-3 23:54:47

我的软件里怎么没有看到IPID标识这一项啊？

osx1969 · 发表于 2008-6-5 21:32:42

应该时12.5MB/S

v2008 · 发表于 2009-3-6 02:06:36

boot6688 · 发表于 2009-3-30 00:52:37

学习了

zzszsp · 发表于 2009-4-13 18:15:24

学习一下下

lj198851 · 发表于 2009-4-22 20:42:03

支持………………

eyesmax · 发表于 2009-5-9 22:46:38

支持下载收藏

ertyuiu · 发表于 2009-5-11 09:09:55

谢谢!!!!!感谢楼主!!!!!

xfx6510 · 发表于 2009-5-21 14:32:44

努力学习学习

sumingjian · 发表于 2009-5-31 16:45:40

不错，老徐的文章，支持一个。

zgwny · 发表于 2009-6-2 22:12:16

学到新知识了~~谢谢

craneflyfly · 发表于 2009-6-9 03:32:33

谢谢楼主提供详尽的资料图文并茂

ncboyqq · 发表于 2009-7-22 17:41:25

这个软件不错，下来试试

liny600299 · 发表于 2009-7-22 18:15:43

学习了,谢谢....................

s_feng · 发表于 2009-7-23 09:43:39

不错，非常有用处，谢谢

用科来网络分析系统监控广播风暴

本帖子中包含更多资源

评分

看的我好兴奋

回复 5# 的帖子