首页 > 奇怪的网络故障

奇怪的网络故障

发布时间：来源：文档文库

小中大

字号：

手机查看

奇怪的网络故障
广播数据是计算机网络通信的基础，在硬件中，涉及集线器、交换机的工作原理，在软件中涉及MAC，IP地址的获取(ARP，RARP，DHCP协议，PPPOE的发现过程，网络共享的主机名(NETBIOSNAMESERVICE等。广播数据无处不在，无比重要，以太网如此高效，广播数据功不可没。但另一方面，每一个广播数据包都要传遍全网，数据包太多了又严重影响网络速度，人们又想出VLAN以及路由等种种办法来限制其数量、范围，竭力维持一种高效的平衡，但稍不留意，平衡就会被打破。

某日清晨，一些教师反映不能上网了，网关都Ping不通，仔细观察，电脑的网络设置正确，连接指示也没有大量的数据收发，网关ARP也未被修改，重启后故障依旧。

教师机的软件方面似乎没有问题，也不像被攻击，是网卡损坏？但昨天还都正常工作，今天不应该数台同时坏。拟先抓包分析，再定对策。

将教师机网线插入，启动科来网络分析系统，不到一分钟，就抓到很多数据。
可以看出，网络内充斥着大量的广播数据，高峰时每秒近4万个包，这是一个不正常的地方，第一反应是很有可能被DDOS攻击。

但看到协议统计后发现，量最大的是一种平时流量很少的NetBIOS广播数据，这种协议常见于WIN2K以前的网络应用中，现在的网络程序一般采用WinSOCK接口，很少使用NetBIOS接口了，许多网络中甚至都禁用了NetBIOS。这又是一个不正常的地方。是可能有古老的NetBIOS程序在进行拒绝攻击吗？

由于校园网已经划分了VLAN，而VLAN的主要作用就是隔离这种广播数据包，所以可以肯定这种数据包出自本地子网节点中，查看数据包内容，发现数据均为同一台电脑所发送，根据MAC，轻易定位到问题源，将其关机。

本以为问题将暂时解决，待随后再分析原因。但此时竟然发现子网内还是不通，频密的数据包仍源源不断地流通，将带宽耗尽。是有程序在利用虚构的MAC地址进行攻击吗？如果这样就很难定位数据源了。仔细分析数据包，终于发现了问题所在，有大量IP标识相同的数据。IP标示为5618和5616的NetBIOS名字服务广播包重复出现了2次。这意味着什么呢？

我们知道，在IP协议中，每个数据包IP数据头内第一个标识位的值应该是唯一的，即系统在发出数据时，对每个数据包连续递增编号，用来让对方以正确的顺序重组数据。数据包的标识相同，说明某些广播数据包完成使命后没有正常消失，而是重新被发回到了网络中，致使类似数据越来越多，阻塞了网络。这种现象一般是由于网络环路所引起，应检查交换机是否存在环路。

仔细检查该VLAN的交换机及上联的交换机，终于发现在上联的交换机中除了原有的级联线外又被接了一

根级联线。拔掉后重启交换机，网络故障排除，大家又可以正常上网了。
网络环路是一种技术很低级、后果很严重的错误。校园网以前一直能正常运行，怎么会突然出现这种错误呢？

后经询问得知，电脑公司工人前一日为一台新入网电脑做网线头，做完后发现有一根网线头垂在外边，以为是交换机上的网线意外脱离了，就好心地找了个空口插了进去，其实那是根备用网线。

目前可网管的较高档交换机均支持STP(生成树协议，在该协议作用下，即便交换机间形成复杂的环路，交换机仍会自动选择一条通路，而封闭其他冗余路径，这样就不会出现广播风暴，仍能正常工作。但绝大多数交换机的STP协议状态缺省是关闭的，需手工打开方起作用。

措施：将所有交换机上连接的网线进行全面排查，暂时用不到的多余线一律妥善收好；凡是支持STP协议的交换机，将其协议状态打开，避免类似情况再次发生。

经过一番努力，网络终于又恢复正常，但回头一想，颇生感慨：布网时，为防万一，大家都喜欢留根备用线，但平时不用时把它收好了吗？交换机支持STP协议吗？开启了吗？如果没有，赶快想对策吧。投资几十万、上百万的网络，但却顶不住一根小小的线头。

参考文献
[1]C.ZACKER.TCP/IP网络管理[M].北京：中国水利水电出版社，1999
[2]高彦刚.实用网络流量分析技术[M].北京：电子工业出版社，2009

本文来源：https://www.2haoxitong.net/k/doc/614ddc0f710abb68a98271fe910ef12d2bf9a912.html