我們把該接入以太網(wǎng)交換機(jī)上的網(wǎng)線都拔掉，以太網(wǎng)交換機(jī)的100BASE-FX端口轉(zhuǎn)發(fā)線速可達(dá)144000pps。在這種網(wǎng)絡(luò)環(huán)路狀態(tài)下，用戶(hù)可以輕輕松松的工作和生活了。

一天，我們?cè)谛@網(wǎng)的網(wǎng)絡(luò)運(yùn)行性能監(jiān)控平臺(tái)上發(fā)現(xiàn)某棟摟的VLAN有問(wèn)題——其接入交換機(jī)與校園網(wǎng)的連接中斷。檢查放置在網(wǎng)絡(luò)中心的匯聚交換機(jī)，測(cè)得與之相連的100BASE－FX端口有大量的入流量。

出流量卻非常少，顯得很不正常。然而這臺(tái)匯聚以太網(wǎng)交換機(jī)的性能似乎還行，感覺(jué)不到有什么問(wèn)題。于是，我們?cè)谶@臺(tái)匯聚交換機(jī)上鏡像這個(gè)異常端口，用協(xié)議分析工具Sniffer來(lái)抓包，最多時(shí)每秒鐘居然能抓到10萬(wàn)多個(gè)。對(duì)這些數(shù)據(jù)包進(jìn)行簡(jiǎn)單分析，我們發(fā)現(xiàn)其中一些共同特征。

當(dāng)時(shí)，我們急于盡快搶修網(wǎng)絡(luò)，沒(méi)去深究這些數(shù)據(jù)包的特征，只看到第1點(diǎn)就以為網(wǎng)絡(luò)受到不明來(lái)歷的Syn Flood攻擊，估計(jì)是由一種新網(wǎng)絡(luò)病毒引起，馬上把這臺(tái)匯聚交換機(jī)上該端口禁用掉，以免造成網(wǎng)絡(luò)性能的下降。

故障排除

為了能在現(xiàn)場(chǎng)測(cè)試網(wǎng)絡(luò)的連通性，在網(wǎng)絡(luò)中心，我們把連接那棟大樓接入以太網(wǎng)交換機(jī)的多模尾纖經(jīng)光電轉(zhuǎn)換器用雙絞線連到一臺(tái)PC上，并將其模擬成那個(gè)問(wèn)題 VLAN的網(wǎng)關(guān)。然后，到現(xiàn)場(chǎng)找來(lái)大樓網(wǎng)管員，想讓他協(xié)助我們盡快把感染了未知病毒的主機(jī)查到并隔離。

據(jù)大樓網(wǎng)管員反映，昨天網(wǎng)絡(luò)還算正常，不過(guò)，當(dāng)時(shí)本大樓某部門(mén)正在做網(wǎng)絡(luò)調(diào)整，今天上班就發(fā)現(xiàn)網(wǎng)絡(luò)不行了，不知跟他們有沒(méi)有關(guān)系。我們認(rèn)為調(diào)整網(wǎng)絡(luò)應(yīng)該跟感染病毒關(guān)系不大。

在大樓主配線間，我們把該接入以太網(wǎng)交換機(jī)上的網(wǎng)線都拔掉，接上手提電腦，能連通網(wǎng)絡(luò)中心的測(cè)試主機(jī)。我們確認(rèn)鏈路沒(méi)問(wèn)題后，每次將剩余網(wǎng)線數(shù)量的一半插回該交換機(jī)，經(jīng)測(cè)試沒(méi)問(wèn)題則如是繼續(xù)下去，否則換插另一半，逐漸縮小懷疑有問(wèn)題網(wǎng)線的數(shù)量。

我們最終找到一條會(huì)引起問(wèn)題的網(wǎng)線，只要插上這根網(wǎng)線，該大樓網(wǎng)絡(luò)就會(huì)與模擬網(wǎng)關(guān)中斷連接。經(jīng)大樓網(wǎng)管員辨認(rèn)，這條網(wǎng)線是連接昨天在做網(wǎng)絡(luò)調(diào)整的那個(gè)部門(mén)的。他還說(shuō)以前該部們拉了一主一備兩條網(wǎng)線。

應(yīng)該還有一條，并親自在那臺(tái)交換機(jī)上把另一條找了出來(lái)。隨意插上這兩條網(wǎng)線中的一條，網(wǎng)絡(luò)沒(méi)問(wèn)題，但只要同時(shí)插上，就有問(wèn)題，哪有在一臺(tái)交換機(jī)上同時(shí)插上兩條網(wǎng)線才會(huì)激活網(wǎng)絡(luò)病毒的SYN Flood攻擊的？

這時(shí)我們倒是覺(jué)得這種現(xiàn)象更像是網(wǎng)絡(luò)中有環(huán)路。我們到了那個(gè)部門(mén)發(fā)現(xiàn)有三臺(tái)非管理型交換機(jī)，都是串在一起的，然而其中兩臺(tái)又分別通過(guò)那兩條網(wǎng)線與接入交換機(jī)相連，從而導(dǎo)致了網(wǎng)絡(luò)環(huán)路。

顯然是施工人員對(duì)網(wǎng)絡(luò)拓?fù)洳磺宄?，?dāng)時(shí)大樓網(wǎng)管員有事外出，就自以為是地把線接錯(cuò)了，從而造成了這起網(wǎng)絡(luò)事故。原因找到就好辦了，只需拔掉其中一條上聯(lián)網(wǎng)線即可恢復(fù)網(wǎng)絡(luò)連通。 經(jīng)過(guò)一番周折，網(wǎng)絡(luò)恢復(fù)了正常，但我們還一直在想，是什么干擾了我們的判斷呢？

故障分析

一起典型的網(wǎng)絡(luò)環(huán)路故障，用協(xié)議分析工具Sniffer抓了這么多的數(shù)據(jù)包，經(jīng)過(guò)一番分析卻沒(méi)看出問(wèn)題來(lái)。顯然，第一眼看到大量的SYN包讓我們產(chǎn)生了錯(cuò)覺(jué)，想當(dāng)然地就以為是SYN Flood攻擊。

事后，我們就這起網(wǎng)絡(luò)環(huán)路故障排除過(guò)程做了檢討，重新仔細(xì)地分析抓回來(lái)的這些數(shù)據(jù)包，據(jù)此解釋一下前面提到這些數(shù)據(jù)包所具有的5個(gè)共同特征，以便今后遇到同類(lèi)問(wèn)題時(shí)能及時(shí)作出正確的反應(yīng)。

先看前4個(gè)特征：匯聚以太網(wǎng)交換機(jī)是網(wǎng)絡(luò)層設(shè)備，該大樓所屬VLAN的網(wǎng)絡(luò)層接口就設(shè)置在這臺(tái)匯聚交換機(jī)上，出于實(shí)施網(wǎng)絡(luò)管理策略的需要，對(duì)已注冊(cè)或沒(méi)注冊(cè)的 IP地址都進(jìn)行了MAC地址的綁定。

TCP連接要經(jīng)過(guò)3次握手才能建立起來(lái)，在這里發(fā)起連接的SYN包長(zhǎng)度為28個(gè)字節(jié)，加上14個(gè)字節(jié)的以太幀頭部和 20個(gè)字節(jié)的IP報(bào)頭，由Sniffer捕獲到的幀長(zhǎng)度共為62個(gè)字節(jié)（不包含4字節(jié)的差錯(cuò)檢測(cè)FCS域）。

恰巧當(dāng)時(shí)訪問(wèn)該VLAN的單播幀是來(lái)自外網(wǎng)的 TCP請(qǐng)求包，根據(jù)以太網(wǎng)橋的轉(zhuǎn)發(fā)機(jī)制，通過(guò)CRC正確性檢測(cè)后，因已做靜態(tài)ARP配置，這臺(tái)匯聚交換機(jī)會(huì)將該單播幀的源MAC地址轉(zhuǎn)換成本機(jī)的MAC地址，其目的MAC地址依據(jù)綁定參數(shù)來(lái)更換，并重新計(jì)算CRC值，更新FCS域，經(jīng)過(guò)這樣重新封裝后，再轉(zhuǎn)發(fā)到那棟樓的接入交換機(jī)。

再看最后1個(gè)特征：網(wǎng)橋是一種存儲(chǔ)轉(zhuǎn)發(fā)設(shè)備，用來(lái)連接相似的局域網(wǎng)。這些網(wǎng)橋在所有端口上監(jiān)聽(tīng)著傳送過(guò)來(lái)的每一個(gè)數(shù)據(jù)幀，利用橋接表作為該數(shù)據(jù)幀的轉(zhuǎn)發(fā)依據(jù)。橋接表是MAC地址和用于到達(dá)該地址的端口號(hào)的一個(gè)“MAC地址－端口號(hào)”列表，它利用數(shù)據(jù)幀的源MAC地址和接收該幀的端口號(hào)來(lái)刷新。

網(wǎng)橋是這樣來(lái)使用橋接表的：當(dāng)網(wǎng)橋從一個(gè)端口接收到一個(gè)數(shù)據(jù)幀時(shí)，會(huì)先刷新橋接表，再在其橋接表中查找該幀的目的MAC地址。如果找到，就會(huì)從對(duì)應(yīng)這個(gè)MAC地址的端口轉(zhuǎn)發(fā)該幀（如果這個(gè)轉(zhuǎn)發(fā)端口與接收端口是相同，就會(huì)丟棄該幀）。

如果找不到，就會(huì)向除了接收端口以外的其他端口轉(zhuǎn)發(fā)該幀，即廣播該幀。這里假定在整個(gè)轉(zhuǎn)發(fā)過(guò)程中，網(wǎng)橋A、B、C和D都在其橋接表中查找不到該數(shù)據(jù)幀的目的MAC地址，即這些網(wǎng)橋都不知道應(yīng)該從哪個(gè)端口轉(zhuǎn)發(fā)該幀。

當(dāng)網(wǎng)橋A從上聯(lián)端口接收到一個(gè)來(lái)自上游網(wǎng)絡(luò)的單播幀時(shí)，會(huì)廣播該幀，網(wǎng)橋B、C收到后也會(huì)廣播該幀，網(wǎng)橋D收到分別來(lái)自網(wǎng)橋B、C的這個(gè)單播幀，并分別經(jīng)網(wǎng)橋C、B傳送回網(wǎng)橋 A，到此網(wǎng)橋A收到了該單播幀的兩個(gè)副本。

在這樣的循環(huán)轉(zhuǎn)發(fā)過(guò)程中，網(wǎng)橋A不停地在不同端口（這時(shí)已經(jīng)不涉及上聯(lián)端口了）接收到相同的幀，由于接收端口在改變，橋接表也在改變“源MAC－端口號(hào)”的列表內(nèi)容。前面已經(jīng)假定網(wǎng)橋的橋接表中沒(méi)有該幀的目的MAC地址，網(wǎng)橋A在分別收到這兩個(gè)單播幀后，都只能再次向除了接收端口以外的其他端口廣播該幀，故該幀也會(huì)向上聯(lián)端口轉(zhuǎn)發(fā)。

就每個(gè)單播幀而言，網(wǎng)橋A重復(fù)前面提到的過(guò)程，理論上，廣播一次會(huì)收到21個(gè)幀，廣播兩次就會(huì)收到22個(gè)幀，…，廣播到第n次就會(huì)收到2n個(gè)幀?？傊?，網(wǎng)橋A照這樣轉(zhuǎn)發(fā)下去，很快就會(huì)形成廣播風(fēng)暴，這個(gè)單播幀的副本最終會(huì)消耗完100BASE-X端口帶寬。

盡管在這期間上聯(lián)端口會(huì)有許多數(shù)據(jù)幀在相互碰撞而變的不完整，令Sniffer捕獲不到，但可以想象得到這個(gè)單播幀的重復(fù)出現(xiàn)次數(shù)仍然會(huì)非常多。我們?cè)俅螜z查那些抓回來(lái)的數(shù)據(jù)包。

幾乎都發(fā)現(xiàn)有當(dāng)時(shí)沒(méi)有注意到的重復(fù)標(biāo)志。按64字節(jié)包長(zhǎng)來(lái)計(jì)算，以太網(wǎng)交換機(jī)的100BASE-FX端口轉(zhuǎn)發(fā)線速可達(dá)144000pps。在這種網(wǎng)絡(luò)環(huán)路狀態(tài)下， Sniffer完全有可能每秒抓到10萬(wàn)多個(gè)包長(zhǎng)為66字節(jié)的數(shù)據(jù)包

【編輯推薦】

1. 對(duì)于核心交換機(jī)分類(lèi)進(jìn)行匯總
2. 了解局域網(wǎng)交換機(jī)如何解決網(wǎng)絡(luò)安 全問(wèn)題
3. 對(duì)目標(biāo)交換機(jī)進(jìn)行學(xué)習(xí)研究
4. PythonAndroid什么是有線交換機(jī)和路由器之間最大 的差異
5. 闡述管理型交換機(jī)和非管理型交換 機(jī)之間的關(guān)系