网络广播风暴的影响及应对措施毕业论文.doc

网络广播风暴的影响及应对措施【摘要】：网络广播风暴对网络应用会产生极坏性影响, 严重时会导致网络瘫痪。如何预防和应对网络广播风暴,是网络管理员必须应对的一个课题。文章介绍了网络广播风暴产生的表现特征, 从理论上分析了产生的原因, 并介绍了具体的应对方法。【关键词】：网络广播风暴;网络环路;病毒;危害;应对措施 一、概述所谓广播风暴，简单的讲，当广播数据充斥网络无法处理，并占用大量网络带宽，导致正常的数据包无法正常在网络中传送，正常业务不能运行，甚至彻底瘫痪，这就发生了“广播风暴”。一个数据帧或包被传输到本地网段 (由广播域定义)上的每个节点就是广播；由于网络拓扑的设计和连接问题，或其他原因导致广播数据在网段内大量复制，传播数据帧，导致网络性能下降，甚至网络瘫痪，这就是广播风暴。广播可以理解为一个人对在场的所有人说话。这样做的好处是通话效率高, 信息只需发送一遍就可以传递到网络中的所有计算机。但是, 即使没有用户人为地发送广播帧, 网络上也会出现一定数量的广播帧。广播示意图需要注意的是, 广播不仅会占用大量的网络带宽, 而且还将占用计算机大量的cpu处理时间。广播风暴就是网络长时间被大量的广播数据包所占用, 使正常的点对点通信无法正常进行, 其外在表现为网络速度奇慢无比, 甚至导致网络瘫痪。二、广播风暴产生原因 广播风暴的产生有多种原因，如蠕虫病毒、arp病毒、交换机端口故障、网卡故障、网络环路等。一般情况下，产生网络广播风暴的原因，主要有以下几种：1、网卡损坏：如果网络机器的网卡损坏，也同样会产生广播风暴。损坏的网卡，不停向交换机发送大量的数据包，产生了大量无用的数据包，占用网络带宽引发广播风暴。由于网卡物理损坏引起的广播风暴，故障比较难排除，损坏的网卡一般还能上网，我们一般用sniffer协议类分析软件，查看网络数据流量，来判断故障点的位置。2、网络环路：曾经在一次的网络故障排除中，发现一个低层次的错误，一条双绞线，两端插在同一个集线器或交换机的不同端口上，导致了网络性能骤然下降，打开内网网页和应用系统都非常困难。网络环路示意图这种故障，就是典型的网络环路。网络环路的产生，一般是由于一条物理网络线路的两端，同时接在了一台网络设备中，现在的交换机(不是hub)一般都带有环路检测功能，缺省状态下，环路检测功能一般都处于关闭状态。3、网络病毒：目前，一些比较流行的网络病毒，funlove、震荡波、rpc等病毒，一旦有机器中毒后，会立即通过网络进行传播。网络病毒的传播，就会损耗大量的网络带宽，引起网络堵塞，引发广播风暴。三、广播风暴解决及预防办法1.接入层拓扑环引发广播风暴 当网络中存在环路，就会造成每一帧都在网络中重复广播，引起广播风暴。要消除这种网络循环连接带来的网络广播风暴可以使用stp协议（生成树协议），以网络中一台交换机为节点生成一棵转发树，这样所有的数据都只在这棵树所指示的路径上传输，就不会产生广播风暴因为树没有环路。但因为stp算法开销太大，交换机默认都没启用该协议。 对策：在接入层启用树生成协议，或者在诊断故障时打开树生成协议，以便协助确定故障点。在广播风暴发生时，应首先了解发生故障前网络的改动，建立完善的网络文档资料，包括：网络布线图、ip地址和mac地址对应表等，现在可以通过局域网工具软件来扫描获取这些信息。2.集线器拓扑环引发广播风暴可网管的交换机由于具备树生成协议功能，可自动切断级联交换机之间的冗余端口，避免网路偶拓扑环的产生，但这个功能，集线器并不具备。在同一集线器上的不同端口，或集线器之间有冗余的连接，就导致网络拓扑环的发生，进而导致网络广播风暴，造成网络通讯失败。 对策：用于级联交换机或集线器的跳线应当做一些特殊标记，最好选择使用不同颜色的跳线，与其他普通跳线相区别。3.网卡损坏或者交换机端口损坏引发广播风暴 当交换机有一个端口传输速率非常缓慢，最后导致整台交换机都慢下来，如果交换机是可网管型的，可通过控制台检查交换机的状态，如发现交换机的缓冲池增长的非常快，达到90%乃至更多。一般来说，这种原因是因为交换机与所连接的计算机之间发送大量的广播造成，通常是因为连接该计算机的网卡损坏，导致不断的发送广播包造成，也有可能是因为网卡与交换机形成了回路，广播包阻塞不能及时发出。 对策：可将其他正常的计算机接到有问题的端口上，如果故障解决，则是原先计算机的网卡损坏或网络故障所致，更换新网卡并检测线路及网络配置即可解决。如果故障依旧，则说明原先计算机的网卡未损坏，可能是交换机的该端口已损坏，检查该端口的指示灯，如确认是该端口损坏，应及时更换交换机将端口损坏交换机送修或者将计算机连接到其他端口，但不要擅自修理交换机，否则损坏交换机得不偿失。4.蠕虫病毒引发广播风暴 当网络中某计算机感染蠕虫病毒时，如funlove、震荡波、rpc等病毒，如果查看该网卡的发送包和接收包的数量时发现发包数在快速增加，则说明该计算机感染了蠕虫病毒，通过网络传播，损耗大量的网络带宽，引起网络堵塞，导致广播风暴。 对策：为每台计算机安装杀毒软件，并配置补丁服务器（wsus）来保证局域网内所有的计算机都能及时打上最新的补丁并能防御查杀最新病毒。5.arp攻击导致广播风暴 计算机不断出现ip地址冲突的提示，重启后不久就重新出现这种情况，升级到最新病毒库却未查出病毒。这种现象，是因为局域网中有计算机感染了病毒，不断的向局域网发送广播，并采用了ip地址欺骗和mac地址欺骗的方法以躲过扫描。也有可能是有人在局域网中使用了黑客软件，如网络执法官、网络剪刀手等黑客软件，对局域网进行攻击，也是采用了arp攻击导致了广播风暴。 对策：为计算机安装防范arp攻击的软件，如360安全卫士的局域网arp攻击拦截的保护功能等；对局域网内每一台计算机绑定网管的ip和其mac地址；给每一台计算机安装最新补丁，最好通过在局域网内架设补丁服务器（wsus）来确保每一台计算机都能打上最新的补丁程序，如关键更新、安全更新和service pack；给系统管理员帐户设置足够复杂的强密码；经常更新杀毒软件的病毒库和网络软件防火墙的规则库；关闭一些不需要的服务。 arp欺骗和攻击问题，是企业网络的心腹大患。关于这个问题的讨论已经很深入了，对arp攻击的机理了解的也很透彻，各种防范措施也层出不穷。 目前很多种arp防范措施，一是解决措施的防范能力有限，并不是最根本的办法。二是对网络管理约束很大，不方便不实用，不具备可操作性。三是某些措施对网络传输的效能有损失，网速变慢，带宽浪费，也不可取。三种常见防范arp措施的分析1) 双绑措施 双绑是在路由器和终端上都进行ip-mac绑定的措施，它可以对arp欺骗的两边，伪造网关和截获数据，都具有约束的作用。这是从arp欺骗原理上进行的防范措施，也是最普遍应用的办法。它对付最普通的arp欺骗是有效的。 在路由器上做ip-mac表的绑定工作，费时费力，是一项繁琐的维护工作。换个网卡或更换ip，都需要重新配置路由,是网络维护的巨大负担。双绑只是让网络的两端电脑和路由不接收相关arp信息，但是大量的arp攻击数据还是能发出，还要在内网传输，大幅降低内网传输效率，依然会出现问题。因此，虽然双绑曾经是arp防范的基础措施，但因为防范能力有限，管理太麻烦，现在它的效果越来越有限了。2) arp个人防火墙 在一些杀毒软件中加入了arp个人防火墙的功能，它是通过在终端电脑上对网关进行绑定，保证不受网络中假网关的影响，从而保护自身数据不被窃取的措施。arp防火墙使用范围很广，arp个人防火墙起到的作用，就是防止自己的数据不会被盗取，而整个网络的问题，如掉线、卡滞等，arp个人防火墙是无能为力的。 因此，arp个人防火墙并没有提供可靠的保证。最重要的是，它是跟网络稳定无关的措施，它是个人的，不是网络的。3) vlan和交换机端口绑定 通过划分vlan和交换机端口绑定，以图防范arp，也是常用的防范方法。做法是细致地划分vlan，减小广播域的范围，使arp在小范围内起作用，而不至于发生大面积影响。同时，一些网管交换机具有mac地址学习的功能，学习完成后，再关闭这个功能，就可以把对应的mac和端口进行绑定，避免了病毒利用arp攻击篡改自身地址。也就是说，把arp攻击中被截获数据的风险解除了。这种方法确实能起到一定的作用。 但是实施交换机端口绑定，必定要全部采用高级的网管交换机、三层交换机，整个交换网络的造价大大提高。 相对来说，这种方法是现今企业较常用，也是预防arp攻击的较有效的方法，但是因为交换网络本身就是无条件支持arp操作的，就是它本身的漏洞造成了arp攻击的可能，它上面的管理手段不是针对arp的。因此，在现有的交换网络上实施arp防范措施，属于以子之矛攻子之盾。而且操作维护复杂。6.网络视频引发广播风暴 部分视频网络传输设备为了便于网络视频点播，常常采用udp的方式，以广播数据包的形式对外进行发送，如果在专用网络中也使用这种方式，很容易引发广播风暴，导致网络阻塞，因此必须通过相关设置来杜绝这类故障。 对策：将视频网络传输设备所连接的交换机端口进行一些设置，对设备本身的网络传输模式以及传送协议类型进行更改，消除网络广播风暴。四、广播风暴实战案例1.网络环路引发广播风暴 故障描述 某日，部分部门反映应用系统无法使用，严重影响工作的正常有序运行，经查各地区网络出现速度慢，并且时断时续，所有应用均不能正常使用。 故障排除 首先检查各地区间主干光纤传输链路是否正常，排除主干光纤传输链路问题，初步确定为广播风暴导致，采用排除法，分别断开各区域间主干传输链路，最终确定为某园区引发此次广播风暴。迅速联系该园区网络管理员，检查该园区网络拓扑的最新变化，了解到某部门网络拓扑昨日发生变化，新连接一台集线器，增加了部分终端，目标锁定，现场对该网络拓扑进行检查，发现集线器两个端口由一根网络跳线连接，形成环路引发广播风暴，去除此跳线后，网络恢复正常。 故障分析及预防 此种故障影响面大，迅速，根据网络拓扑新增和变化情况，较容易发现并排除。应建立完整的文档，并及时更新网络拓扑，禁止私自变动网络拓扑结构，应申请由网络管理员完成，或采用不同颜色的级联跳线，避免误操作引发广播风暴。2.病毒引发广播风暴 故障描述 某日，部分部门反映应用系统登录速度慢，或提示连接应用系统错误，严重影响工作的正常有序进行，经查各地区网络出现速度慢，并且时断时续，所有应用均不能正常使用。 故障排除 首先检查各地区间主干光纤传输链路是否正常，排除主干光纤传输链路问题，登录交换机，发现交换机间断性重启，导致网络时断时续，初步确定为广播风暴，导致交换机的缓冲池溢出，交换机重启。采用排除法，分别断开各区域间主干传输链路，最终确定为某园区引发此次广播风暴。检查该园区网络拓扑结构变化情况，确定无变化，排除环路引发广播风暴的可能，由此推断可能是病毒引发风暴，但当时该园区划分了二十多个vlan，近300台计算机终端，要在如此多终端中找出引发风暴的计算机终端并不是一件易事， 因此 我们采用sniffer pro（协议类分析软件）来检测广播风暴。sniffer，又称“嗅探器”，是一种基于被动侦听原理的网络分析方式，一种利用以太网的特性把网络适配卡置为杂乱（promis-cuous）模式状态的工具，一旦网卡设置为这种模式它就能接收传输在网络上的每一个信息包，该网卡具备“广播地址”它对所有遇到的每一个数据帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。使用这种技术方式，可以监视网络的状态、数据流动情况以及网络上传输的信息。这样不管它的接受者或发送者，是不是运行sniffer的主机，sniffer将数据存入log文件，当信息以明文的形式在网络上传输时，便可以使用网络监听的方式来进行攻击。将网络接口设置在监听模式，便可以将网上传输的源源不断的信息截获。sniffer工作在网络环境中的底层，它会拦截所有的正在网络上传送的数据，并且通过相应的软件处理，可以实时分析这些数据的内容，进而分析所处的网络状态和整体布局。值得注意的是：sniffer是极其安静的，它是一种消极的安全攻击。sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。广播风暴检测地点内部网络中心机房，使用网管专用笔记本电脑，windows xp操作系统，安装sniffer pro软件，接入核心交换机，其拓扑构建如下：流量监测拓扑构建示意图 sniffer pro做为协议类分析软件，可以检测到广播数据，并以更为人性化的图表形式展现出来。为了确定产生风暴的原因，使用sniffer 的另外一个流量监控功能host table，它可监控网络中每台计算机的流量状况，包括每台计算机收到的数据包数、数据包字节数、每台计算机发出的数据包数、发出数据包的字节数、总的包数和总的字节数等流量信息。从而准确定位是哪台机器在实施“广播风暴”攻击。我们使用sniffer中的主机列表功能，根据各vlan内计算机终端收到和发出的数据包字节数，以及广播数据包的数量，查看网络中哪些机器的流量最大，sniffer 流量监测情况示意图并结合矩阵就可以看出哪台机器数据流量异常。sniffer矩阵示意图从而，在最短的时间内，判断网络的具体故障点，锁定实施“广播风暴”攻击的计算机终端ip地址，根据ip地址对应表查找到该计算机终端，断开该终端的网络链接后，网络恢复正常，对该终端实施升级病毒库，进行全盘杀毒，清除掉所有病毒后，接入网络，内部网络运行正常，不再引发“广播风暴”。 故障分析及预防 此种故障由网络内某台计算机终端感染蠕虫病毒引发，影响面大，迅速，故障点难于判断，需采用流量监控类软件，例如sniffer pro来查找流量异常的故障点。此种故障应及时更新病毒库，或在内部网络部署网络版杀毒软件，定期进行全盘杀毒，在数据导入点部署单机版杀毒软件，对所有导入数据进行杀毒操作，从根源上消除感染病毒的可能。五、广播风暴-网管经验总结 作为网络管理员，在面对网络广播风暴发生时，要冷静分析广播风暴产生的原因，可使用二分法、排除法、替换法和网线插拔法等多种方法综合运用，一步一步地进行故障排除，快速定位引发广播风暴的故障点，查出引发广播风暴的原因，及时采取相应措施来消灭广播风暴。 总的来看，要解决广播风暴的问题，可以从以下几个方面入手： 在局域网中安装wsus补丁服务器，保证局域网所有计算机都能及时打上最新的补丁。 最好在局域网内安装网络版的防毒服务器，如无条件，起码也得保证单机版的防毒软件的病毒库是经常更新的。 检查每一台计算机的网卡、网线和交换机的每一个端口，检查是否有故障。 当广播风暴发生时，观察交换机的指示灯不啻为很好的方法，可直接观察网络连通性及网络流量。并采用网络流量检测工具，根据流量异常情况，判断故障点。 要避免广播风暴，可以采用恰当划分vlan、缩小广播域、隔离广播风暴，终端和交换机端口进行mac和ip地址绑定，还可在千兆以太网口上启用广播风暴控制，最大限度地避免网络再次陷入瘫痪。当端口接受到大量的广播、单播或组播的包时，就会发生广播风暴。转发这些包会导致网络速度变慢或超时，在交换机上借助对端口的广播风暴控制可以有效避免硬件损坏或链路故障导致的广播风暴的网络瘫痪。从实际经验来看，90%以上的网络广播风暴是病毒所致，因此，在局域网中配备防病毒系统，购置ids入侵检测系统、网络流量检测工具等，以加强网络病毒的防治，加强对网络线路运行状态的监控，及时发现和处理网络上的异常流量和病毒攻击等问题，并制定计算机安全管理制度，确保网络线路的正常运行。参考文献：网络相关文档 sniffer使用手册毕业设计（论文）原创性声明和使用授权说明原创性声明本人郑重承诺：所呈交的毕业设计（论文），是我个人在指导教师的指导下进行的研究工作及取得的成果。尽我所知，除文中特别加以标注和致谢的地方外，不包含其他人或组织已经发表或公布过的研究成果，也不包含我为获得 及其它教育机构的学位或学历而使用过的材料。对本研究提供过帮助和做出过贡献的个人或集体，均已在文中作了明确的说明并表示了谢意。作 者 签 名： 日 期： 指导教师签名： 日期： 使用授权说明本人完全了解 大学关于收集、保存、使用毕业设计（论文）的规定，即：按照学校要求提交毕业设计（论文）的印刷本和电子版本；学校有权保存毕业设计（论文）的印刷本和电子版，并提供目录检索与阅览服务；学校可以采用影印、缩印、数字化或其它复制手段保存论文；在不以赢利为目的前提下，学校可以公布论文的部分或全部内容。作者签名： 日 期： 学位论文原创性声明本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的法律后果由本人承担。作者签名： 日期： 年 月 日学位论文版权使用授权书本学位论文作者完全了解学校有关保留、使用学位论文的规定，同意学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文被查阅和借阅。本人授权 大学可以将本学位论文的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。涉密论文按学校规定处理。作者签名：日期： 年 月 日导师签名： 日期： 年 月 日致 谢时间飞逝，大学的学习生活很快就要过去，在这四年的学习生活中，收获了很多，而这些成绩的取得是和一直关心帮助我的人分不开的。首先非常感谢学校开设这个课题，为本人日后从事计算机方面的工作提供了经验，奠定了基础。本次毕业设计大概持续了半年，现在终于到结尾了。本次毕业设计是对我大学四年学习下来最好的检验。经过这次毕业设计，我的能力有了很大的提高，比如操作能力、分析问题的能力、合作精神、严谨的工作作风等方方面面都有很大的进步。这期间凝聚了很多人的心血，在此我表示由衷的感谢。没有他们的帮助，我将无法顺利完成这次设计。首先，我要特别感谢我的知道郭谦功老师对我的悉心指导，在我的论文书写及设计过程中给了我