[原创]如何利用IP标识符查看广播风暴？

lbzxy · 发表于 2007-12-21 16:18:11

如何利用IP标识符查看广播风暴

一、什么是广播风暴
广播风暴，顾名思义，即网络中的广播信息所占用的时间非常多，从而对正常的信息传输产生影响，轻则造成传送信息延时，重则造成网络性能急剧下降，甚至造成整个网络的堵塞、瘫痪，这就是广播风暴。那么，产生广播风暴常见的原因有哪些呢？

二、广播风暴产生的原因
产生广播风暴的原因，通常有以下几种：
1.网络设备：网络设备原因，如网卡，当网卡损坏时，也同样会产生广播风暴。损坏的网卡，不停向交换机发送大量的数据包，这时，就会产生广播风暴。网卡物理损坏引起的广播风暴，故障比较难排除，因为损坏的网卡一般还能上网，我们可以网络分析软件（如科来网络分析系统），查看网络数据流量，来判断故障点的位置。　　
2.网络环路：网络环路的产生，一般是由于一条物理网络线路的两端，同时接在了一台网络设备中，从而形成了回路，导致了网络性能急骤下降，就是典型的网络环路。　　　　
3.网络病毒：一些比较流行的蠕虫病毒，如震荡波、RPC等病毒，一旦网络中有机器中毒后，会立即通过网络进行传播。网络病毒的传播，会损耗大量的网络带宽，引起网络堵塞，造成广播风暴。　　

三、怎样查看是否有广播风暴
那么，当网络中产生广播风暴时，我们怎样进行查看呢？下面，我们就来讨论一下如何利用科来网络分析系统查看由网络环路引起的广播风暴。我们都知道，在以太网中，每一个IP数据包都有一个唯一的IP标识符来识别此数据包，那么，在正常情况下，网络中每个数据包的IP标识符都会是不同的，如果发现网络中同一IP标识符的数据包非常多并且发送频率也较快的话，这时，我们就基本可以确定网络中存在有广播风暴了。下面，我们就通过科来网络分析系统进行详细的介绍。
首先，我们打开一个工程文件，通过端点视图（图1）可以看到：广播地址在较短的时间内收到了31313个数据包，流量也达到了10.332M，而发送数据包的IP地址为0.0.0.0，流量也是10.332M，从而可以确定这台主机在发广播包。通过进一步的分析，由于这台主机在运行DHCP协议，还未分配到IP地址，故IP显示为0.0.0.0。

图2 端点视图.gif

（图1 端点视图）

然后，再通过数据包概要视图（图2）查看具体的解码情况。从图2我们可以看到，MAC地址为00

0:59:84:F4:10的主机一直在发广播包，从IP标识列可以看出，其使用的IP标识均为0x047F，0x0480，0x0481，0x047E，这几个IP标识的数据包一直在网络中循环发送，并且发送的频率非常快，平均5微秒左右就发送一个数据包，从而在几秒的时间内发送的广播数据包达到了几万个，这对网络产生了及其严重的影响。同时，我们就能够确定该网络中存在广播风暴，影响了网络性能。

图1 概要解码视图.gif

（图2 数据包概要视图）

同时，需要注意的是科来网络分析系统的数据包解码视图有一个从属联动关系，如在图3的数据包字段解码图中选择了标识字段，则图2的数据包概要视图的IP解码列就显示IP标识符；如在图3中选择版本字段，则图2的IP解码列就显示IP版本为4；如选择其他字段，则IP解码列也就会显示相应的信息。

图3 字段解码.gif

（图3 数据包字段解码）

四、总结
通过对此次故障原因分析，发现主要是由于网络中有环路存在，造成数据包在网络中重复广播，引起了广播风暴。所以，通过科来网络分析系统的端点视图与数据包视图的结合，对IP数据包的IP标识符进行分析，我们就能很容易的查看出网络中是否存在广播风暴。

[ 本帖最后由 lbzxy 于 2007-12-21 16:20 编辑 ]

lucklt · 发表于 2007-12-22 20:40:13

图片看不到啊,

牛人 · 发表于 2007-12-24 14:24:10

谢谢楼主，又学到不少知识。
但最后楼主提到的科来数据包视图有一个从属联动关系，这个不太明白，能否详细解释下？

lbzxy · 发表于 2007-12-25 12:02:21

原帖由牛人于 2007-12-24 14:24 发表
谢谢楼主，又学到不少知识。
但最后楼主提到的科来数据包视图有一个从属联动关系，这个不太明白，能否详细解释下？

从属联动关系是这样的：
在图2的数据包概要解码有一个IP解码列，该列的值会根据选择图3（数据包字段解码）的不同字段而显示不同的值；
比如在图3中选择了IP标识符字段，在图2的解码列字段就会显示该数据包的IP标识符；
如果在图3中选择了其他字段，那么，图2的解码列也就会显示该字段对应的值。

chien47 · 发表于 2009-3-17 01:36:35

good 又學到了

ljx1996 · 发表于 2009-3-26 21:14:49

不知道为什么，IP标识符在我的科来分析软件中找到阿，好像没有这一列。

lbc21cn · 发表于 2009-7-9 10:16:34

2.网络环路：网络环路的产生，一般是由于一条物理网络线路的两端，同时接在了一台网络设备中，从而形成了回路，导致了网络性能急骤下降，就是典型的网络环路。　　　

楼主能把这个问题的解决方法写详细些吗?谢了!

SHS9102 · 发表于 2009-7-30 11:39:52

好贴子就是要顶!!!!!!!!!!!

rgbfvje518 · 发表于 2009-7-30 12:04:41

亲爱的楼主，
有没有科来分析的案历呀，最好是详细点。让我们这些科初学者多多了解科来呀，
而且面前对科来的实际操作不太了解。
在此先谢谢了！不过没有也没有关系，希望多多发如此的好贴。

saint1010 · 发表于 2009-12-28 16:25:45

好东西，学习了。感谢分享经验！！！！！！！！！！！！

linuxxyj · 发表于 2010-11-23 11:03:24

谢谢楼主分享，学习了！

guoshibing007 · 发表于 2011-7-13 08:27:22

好东西，正在搞

公关 · 发表于 2011-7-19 15:38:41

学习中，谢谢

公关 · 发表于 2011-7-19 15:58:42

更详细点就好啦、

[原创]如何利用IP标识符查看广播风暴？

图片了,

回复 1# 的帖子

浏览过的版块