以太網(wǎng)中的交換機(jī)之間存在不恰當(dāng)?shù)亩丝谙噙B會(huì)造成網(wǎng)絡(luò)環(huán)路，如果相關(guān)的交換機(jī)沒(méi)有打開(kāi)STP功能，這種環(huán)路會(huì)引發(fā)數(shù)據(jù)包的無(wú)休止重復(fù)轉(zhuǎn)發(fā)，形成廣播風(fēng)暴，從而造成網(wǎng)絡(luò)故障。我們?cè)谛@網(wǎng)的維護(hù)過(guò)程中多次遇到過(guò)這種故障，其中有一次排除故障的過(guò)程令我們印象深刻。
故障描述
一天，我們?cè)谛@網(wǎng)的網(wǎng)絡(luò)運(yùn)行性能監(jiān)控平臺(tái)上發(fā)現(xiàn)某棟摟的VLAN有問(wèn)題—其接入交換機(jī)與校園網(wǎng)的連接中斷。檢查放置在網(wǎng)絡(luò)中心的匯聚交換機(jī)，測(cè)得與之相連的100BASE-FX端口有大量的入流量，而出流量卻非常小，顯得很不正常。然而這臺(tái)匯聚交換機(jī)的性能似乎還行，感覺(jué)不到有什么問(wèn)題。于是，我們?cè)谶@臺(tái)匯聚交換機(jī)上鏡像這個(gè)異常端口，用協(xié)議分析工具Sniffer來(lái)抓包，最多時(shí)每秒鐘居然能抓到10萬(wàn)多個(gè)。對(duì)這些數(shù)據(jù)包進(jìn)行簡(jiǎn)單分析，我們發(fā)現(xiàn)其中一些共同特征（如圖1所示）。

圖1  抓包數(shù)據(jù)

絕大部分的包長(zhǎng)為62字節(jié)（加上4字節(jié)的差錯(cuò)檢測(cè)FCS域即為66字節(jié)），TCP狀態(tài)為SYN。
源IP為其他網(wǎng)段的IP、目的IP均為該樓網(wǎng)段的IP。
盡管源IP地址不同，但源MAC地址卻是一樣的。
目的IP地址和目的MAC地址與在這臺(tái)匯聚交換機(jī)上綁定該樓VLAN的IP-MAC參數(shù)一致。
實(shí)際的數(shù)據(jù)流向（流入）與這些數(shù)據(jù)包中的源IP地址和目的IP地址所確定的流向（流出）相反。
當(dāng)時(shí)，我們急于盡快搶修網(wǎng)絡(luò)，沒(méi)去深究這些數(shù)據(jù)包的特征，只看到第1點(diǎn)就以為網(wǎng)絡(luò)受到不明來(lái)歷的Syn Flood攻擊，估計(jì)是由一種新網(wǎng)絡(luò)病毒引起，馬上把這臺(tái)匯聚交換機(jī)上的該端口禁用掉，以免造成網(wǎng)絡(luò)性能的下降。

回書目   上一節(jié)   下一節(jié)