如何检测广播风暴

日期: 2009-06-03 作者:徐徐渐进 来源:TechTarget中国

  网络风暴产生的原因

  网络不正确的设计和规划。
 
  网络设备或者设备的损坏;HUB做为广播设备本身容易导致;网卡或者交换设备的损坏也可能产生广播风暴。
 
  网络环路;路由配置错误,或者在没有启用STP的交换设备上出现“两端”同时接入错误。
 
  其它:网络病毒本身具有感染后向网内大量扩散传播的特性,也可导致广播风暴。

  广播风暴的检测

  Step1 建立广播数据包过滤器

  点开“过滤器-从过滤器列表”,选择“Broadcast”。如图1。

科来网络分析系统过滤器设置

图1 科来网络分析系统过滤器设置

  Step2 检测广播风暴的相关参数

  进行捕包(由于已经建立好广播包过滤器,这里所捕获的数据全是广播数据包),然后统计相应的参数。如图2。

 广播数据统计视图

图2 广播数据统计视图

  1.统计参数:

  广播数据包字节数
  
  广播数据总数
  
  每秒包个数
 
  数据包大小分布
 
  协议类型

  ……(根据自身的网络添加)

  怎样利用这些参数:

  我们这里以100M以太网为例,100M网络每秒的最大数据为12.5M*1024=12800Byte/S。如果网络中广播数据包的每秒数接近或大于此值,网络就存在“广播风暴”了。

  数据包的总数、个数以及大小的分布,根根网络的大小而不尽相同,如果发现根网络正常时的值相差较大,也要引起注意。

  协议类型主要是统计所占流量最大的协议。这里要注意区分ARP请求与ARP应答的关系,ARP请求是广播,而ARP应答是单播;如果通过过滤器捕获到ARP协议占用了较大的流量,那网络中就存在“ARP扫描”,此时我们可以切换到“诊断”视图进行定位。

  2.数据包的IPID标识

  我们知道,IPID唯一的标识了数据报或数据报的流;如果网络某一协议所占的流量大,我们可以通过“数据包”视图来查看它的IPID,如果相同,那我们可以判断影响当前网络运行是由网络环路造成的。如图3。

数据包的IPID

图3 数据包的IPID

  在当前,网络环路是造成广播风暴的主要原因之一。

  3.查看网络利用率(如图4、图5)

网络利用率

图4 网络利用率

网络利用率2

图5 网络利用率

  怎样利用网络利用率参数

  利用率分为位利用率和利用率百分比,我们来看一下网络利用率的计算过程:网络中的实时流量即每秒位数(在“概要视图”中查看)除以网络带宽(100M以太网或1000M以太网)。通常在以太网中,利用率达到50%就已经是非常好的网络了,所以如果广播数据包的利用率达到30%以上,也就是说在100M以太网中广播数据达到30M/S时,那网络中就存在“广播风暴”了。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐

  • 虚拟局域网在企业网管理的应用

    局域网通过使用VLAN 划分技术,在安全性和稳定性方面会有很大的提升,为各种业务的开展提供可靠的保证,VLAN技术在集团公司网络管理中的重要性是不容忽视的。

  • Blue Coat在WebPulse服务中部署动态链接分析

    怎样在WebPulse服务中部署动态链接分析来分析并检测动态网络内容的风险?

  • 网络流量模型的异常检测方法

    流量异常的检测有基于域值的检测方法,基于统计的检测方法,基于小波的检测方法,基于马尔可夫等随机过程模型的方法和一些基于机器学习、数据挖掘和神经网络等检测方法。

  • STP生成树制服网络广播风暴(下)

    多环形网络可以实现任何一条链路出现问题都不影响应用,但在环形交换网络中很容易出现“广播风暴”。出现“广播风暴”主要有两种原因:广播和电缆中断引发环路。