背景介紹

某酒店網(wǎng)絡(luò)使用聯(lián)通800M專線，晚上客戶入住后出現(xiàn)流量拉滿，客人反饋網(wǎng)絡(luò)卡頓無法使用，路由器看到CPU一直90%的異常問題。

酒店IT查看了路由接口速率，發(fā)現(xiàn)上行已經(jīng)被跑滿了：

這是什么？這不是經(jīng)典的PCDN嗎？有人在用酒店網(wǎng)絡(luò)刷錢？？？

網(wǎng)絡(luò)拓?fù)?/h4>

典型的三層網(wǎng)絡(luò)如下：

排查分析

第一步：確認(rèn)整體流量來源

通過查看路由器接口實時速率統(tǒng)計，發(fā)現(xiàn)GE1寬帶口的上行基本打滿，且數(shù)據(jù)的來源都是來自內(nèi)網(wǎng)核心三層交換機。

第二步：明確異常終端

打開路由器的IP流量統(tǒng)計功能，查看內(nèi)網(wǎng)終端發(fā)送大量流量的IP地址是哪些，發(fā)包流量平均30-60Mbps，發(fā)包速率2000-6000PPS。

第三步：抓包確認(rèn)該終端行為

持續(xù)抓取核心上來傳給路由器的報文：

從報文分析發(fā)現(xiàn)不同的設(shè)備持續(xù)向外網(wǎng)一些公網(wǎng)IP發(fā)送UDP包，且這個包的字節(jié)都是1300以上的數(shù)據(jù)，和路由器的統(tǒng)計數(shù)據(jù)吻合。

最終找到這些設(shè)備是電視盒子：

原理及解決方案

問題原因：內(nèi)網(wǎng)一堆電視盒子瘋狂跑上行流，發(fā)包速率高達(dá)6000pps（每秒6000個）。沖死了路由的CPU和帶寬。

解決方案：

• 路由器對這些IP做限速；
• 交換機對這些IP做限速；

本質(zhì)解決辦法是由電視廠家更新系統(tǒng)解決電視瘋狂發(fā)包的行為。