廣播風暴

廣播風暴也叫網絡廣播風暴，廣播風暴(broadcast storm)故障，即一個數據包或幀被傳送到本地網段(由廣播域定義)上的每個節點就是廣播；網絡上的廣播幀由於被轉發，數量急劇增加而出現無法正常網絡通信的反常現象。廣播風暴會佔用相當可觀的網絡帶寬，導致正常數據包無法正常運行。當廣播數據充斥網絡無法處理並佔用大量網絡帶寬，導致正常業務不能運行，這就發生了廣播風暴，造成局域網局部或整個網絡癱瘓。 ^[1] 

廣播風暴是一種很嚴重的網絡故障。以預防為主的防治措施應是主要對策。要養成良好的網絡設備管理習慣，加強故障監控是主要的防範措施，追查截殺惡意程序和病毒入侵時刻不能放鬆。要不斷研究排除和預防廣播風暴的先進技術，及時升級和優化最安全可靠的防火牆，提高互聯網設備維護水平，確保互聯網安全高速運行。 ^[2] 

1、大規模耗用鏈路帶寬，使得正常數據不能得到有效傳輸

網絡中的HUB、交換機等交換設備會對廣播數據幀進行泛洪操作。若網絡中出現環路，交換設備經過多次泛洪之後，網絡中就會出現大量方向互異的廣播流，遠遠大過了交換設備所能承載的數據上限，從而正常的數據幀傳輸受到了抑制，便會導致信道的擁塞，其結果往往是延時或丟幀。

2、造成交換機資源被佔用，導致死機

交換機對每個幀都要進行諸如緩存、檢錯、查詢MAC地址表等操作，這些操作均會佔用其部分CPU，當大量的廣播幀經過交換機處理時，就會大量佔用系統資源，最終造成其“死機”狀態。 ^[3] 

廣播風暴的產生有多種原因，如蠕蟲病毒、交換機端口故障、網卡故障、鏈路冗餘沒有啓用生成樹協議、網線線序錯誤或受到干擾等。從目前來看，蠕蟲病毒和ARP攻擊是造成網絡廣播風暴最主要的原因。雖説如今網絡廣播風暴已經很少見了，但在一些使用集線器的網絡中仍然非常常見。解決網絡廣播風暴最快捷的方法是給集線器斷電然後上電啓動即可，但這只是治標不治本的方法，要徹底解決，最好使用交換機設備，並劃分VLAN、通過端口控制網絡廣播風暴。否則，如果廣播風暴是由於網卡損壞所致，要從上百台計算機找出故障計算機簡直就是大海撈針，那將是網管員的一場噩夢。 下面就幾個引發廣播風暴的原因及其對策進行闡述。

採購人員或者奸商將智能型集線器當作交換機使用，這樣，當網絡稍微繁忙時，由於集線器的天生缺陷，故引發了廣播風暴（廣播風暴不是由集線器引起的，而交換機也只是起到隔離廣播的作用）。

對策：檢查所使用的網絡設備是否是交換機，如果不是則更換正確的交換機，切記不要使用集線器。

壓制網線時沒有做好，或者網線表面有磨損導致短路，會引起交換機的端口阻塞，因為交換機大多都使用存儲轉發技術，它的工作原理是對某一段數據包進行分析判斷尋址，並進行轉發，在發出前均存儲在交換機的緩衝區內，當網線發生短路時，該交換機將接收到大量的不符合分裝原則的包，造成交換機處理器工作繁忙， 數據包來不及轉發，從而導致緩衝區溢出產生丟包現象，導致廣播風暴。

對策：使用MRGT等流量查看軟件可以查看出現短路的端口，如果交換機是可網管的，也可以通過逐個封閉端口來進行處理查找，進而找到有問題的網線。找到短路的網線後，更換一根網線。

當網絡中存在環路，就會造成每一幀都在網絡中重複廣播，引起廣播風暴。要消除這種網絡循環連接帶來的網絡廣播風暴可以使用STP協議（生成樹協議），以網絡中一台交換機為節點生成一棵轉發樹，這樣所有的數據都只在這棵樹所指示的路徑上傳輸，就不會產生廣播風暴——因為樹沒有環路。但因為STP算法開銷太大，交換機默認都沒啓用該協議。

對策：在接入層啓用樹生成協議，或者在診斷故障時打開樹生成協議，以便協助確定故障點。在廣播風暴發生時，應首先了解發生故障前網絡的改動，建立完善的網絡文檔資料，包括：網絡佈線圖、IP地址和MAC地址對應表等，可以通過局域網工具軟件來掃描獲取這些信息。

可網管的交換機由於具備生成樹協議功能，可自動切斷級聯交換機環回端口，避免網絡拓撲環的產生，但這個功能，傻瓜交換機並不具備。在同一傻瓜交換機上的不同端口，或傻瓜交換機之間有冗餘的連接，就導致網絡拓撲環的發生，進而導致網絡廣播風暴，造成網絡通訊失敗。

對策：用於級聯交換機的跳線應當做一些特殊標記，最好選擇使用不同顏色的跳線，與其他普通跳線相區別。

當網絡中某計算機感染蠕蟲病毒時，如Funlove、震盪波、RPC等病毒，如果查看該網卡的發送包和接收包的數量時發現發包數在快速增加，則説明該計算機感染了蠕蟲病毒，通過網絡傳播，損耗大量的網絡帶寬，引起網絡堵塞，導致廣播風暴。

對策：為每台計算機安裝殺毒軟件，並配置補丁服務器（WSUS）來保證局域網內所有的計算機都能及時打上最新的補丁。 ^[1] 

1、做好網絡病毒的預防工作

網絡中如果感染了蠕蟲病毒或受到ARP病毒的攻擊，都有可能導致網絡中出現堵塞耗損網絡帶寬，進而導致廣播風暴。為此，應當在允許的前提下為各終端安裝殺毒軟件；將計算機系統中一些不必要的網絡服務暫時停止掉，將那些使用不到的網絡端口關閉掉；對於U盤等存儲設備的使用也應當儘量專網專用，儘量切斷病毒的跨網傳播途徑。

2、啓用生成樹協議，做好網絡拓撲圖

當網絡裏有鏈路存在環接現象，就會導致廣播數據幀在網絡中重複產生，引起廣播風暴。若希望將這種網絡鏈路環接帶來的廣播風暴消除可以使用交換機中的STP協議，其工作原理是以網絡中某台交換機為節點形成一個樹狀轉發拓撲，這樣網絡中的數據都會按照這棵樹指示的路徑進行傳輸，從邏輯上消除了網絡環路，從而消除了廣播風暴。但因為STP算法對交換機資源及CPU的開銷太大，交換機一般默認都不開啓該協議。另外，在廣播風暴發生時，應當對先前網絡拓撲等的臨時性改動有所瞭解，建立完善的各項文檔資料，包括：網絡佈線圖、網絡拓撲圖、IP-MAC地址對應表，有了完善的網絡文檔資料後，也可以避免在對現有網絡進行變動時造成網絡環路。

3、劃分VLAN

VLAN是一種將局域網設備從邏輯上劃分成一個個網段從而實現虛擬工作單元的數據交換技術，二層、三層交換機基本都配備了這一功能。在同一個Vlan中，所有設備都是同一個廣播域的成員，並接收所有的廣播。而不是同一個Vlan成員的交換機上，所有的端口都會對廣播數據進行過濾。因此，通過VLAN的劃分可以有效地縮小廣播風暴產生的範圍，也能夠在產生廣播風暴時得到更準確的定位，減少排故時間。 ^[3] 

作為網絡管理員，在面對網絡廣播風暴發生時，要冷靜分析廣播風暴產生的原因，可使用二分法、排除法、替換法和網線插拔法等多種方法綜合運用，一步一步地進行故障排除，快速定位引發廣播風暴的故障點，查出引發廣播風暴的原因，及時採取相應措施來消滅廣播風暴。 總的來看，要解決廣播風暴的問題，可以從以下幾個方面入手：

一、在局域網中安裝WSUS補丁服務器，保證局域網所有計算機都能及時打上最新的補丁。

二、最好在局域網內安裝網絡版的防毒服務器，如無條件，起碼也得保證單機版的防毒軟件的病毒庫是經常更新的。

三、檢查每一台計算機的網卡、網線和交換機的每一個端口，檢查是否有故障。

四、當廣播風暴發生時，觀察交換機的指示燈不啻為很好的方法，可直接觀察網絡連通性及網絡流量。

要避免廣播風暴，可以採用恰當劃分VLAN、縮小廣播域、隔離廣播風暴，還可在千兆以太網口上啓用廣播風暴控制，最大限度地避免網絡再次陷入癱瘓。當端口接受到大量的廣播、單播或組播的包時，就會發生廣播風暴。轉發這些包會導致網絡速度變慢或超時，在交換機上藉助對端口的廣播風暴控制可以有效避免硬件損壞或鏈路故障導致的廣播風暴的網絡癱瘓。

從實際經驗來看，90%以上的網絡廣播風暴是病毒所致，因此，在局域網中配備防病毒系統，購置IDS入侵檢測系統、網絡流量檢測工具等，以加強網絡病毒的防治，加強對網絡線路運行狀態的監控，及時發現和處理網絡上的異常流量和病毒攻擊等問題，並制定計算機安全管理制度，確保網絡線路的正常運行。