用网络工具分析系统监控广播风暴

  网络风暴产生的原因

    网络不正确的设计和规划。
 
    网络设备或者设备的损坏；HUB 做为广播设备本身容易导致；网卡或者交换设备的损坏也可能产生广播风暴。
 
    网络环路；路由配置错误，或者在没有启用 STP的交换设备上出现“两端”同时接入错误。
 
    其它：网络病毒本身具有感染后向网内大量扩散传播的特性，也可导致广播风暴。
  
    广播风暴的检测（我用的科来软件）
 
    Step1  建立广播数据包过滤器

    点开“过滤器-从过滤器列表”，选择“Broadcast”。如图 1。

   

  
    Step２  检测广播风暴的相关参数
  
   

   用科来网络分析系统进行捕包（由于已经建立好广播包过滤器，这里所捕获的数据全是广播数据包），然后统计相应的参数。如图 2。
  
    

  
    1．统计参数：
 
    广播数据包字节数
    广播数据总数
    每秒包个数
    数据包大小分布
    协议类型
    ……（根据自身的网络添加）
 
    怎样利用这些参数：
 
    我们这里以100M以太网为例，100M网络每秒的最大数据为12.5M*1024=12800Byte/S。如果网络中广播数据包的每秒数接近或大于此值，网络就存在“广播风暴”了。
 
    数据包的总数、个数以及大小的分布，根根网络的大小而不尽相同，如果发现根网络正时的值相差较大，也要引起注意。
 
    协议类型主要是统计所占流量最大的协议。这里要注意区分 ARP请求与 ARP应答的关系，ARP 请求是广播，而 ARP 应答是单播；如果通过过滤器捕获到 ARP 协议占用了较大的流量，那网络中就存在“ARP 扫描”，此时我们可以切换到“诊断”视图进行定位。
 
    2数据包的IPID标识
 
    们知道，IPID唯一的标识了数据报或数据报的流；如果网络某一协议所占的流量大，我们可以通过“数据包”视图来查看它的 IPID，如果相同，那我们可以判断影响当前网络运行是由网络环路造成的。如图 3。
 
    在当前，网络环路是造成广播风暴的主要原因之一。

    3．查看网络利用率（如图 4、图5）
  
    

  
    怎样利用网络利用率参数

     利用率分为位利用率和利用率百分比，我们来看一下网络利用率的计算过程：网络中的实时流量即每秒位数（在“概要视图”中查看）除以网络带宽（100M 以太网或 1000M以太网）。通常在以太网中，利用率达到 50％就已经是非常好的网络了，所以如果广播数据包的利用率达到 30％以上，也就是说在 100M 以太网中广播数据达到 30M/S 时，那网络中就存在“广播风暴”了。