關於區域網癱瘓的解決方法有哪些

　　最近有網友想了解下區域網癱瘓的解決方法,所以小編就整理了相關資料分享給大家,具體內容如下.希望大家參考參考!!!

　　區域網癱瘓的解決方法***小編推薦一個非常不錯的例子給大家參考參考***

　　小編接到網友求助，最近進行了一次網路“出診”。這是一個由傀儡主機的DDos攻擊引發的網路故障，案例比較典型，排錯過程也頗曲折。所以小編我就就還原其過程，與大家分享。

　　1.網路環境

　　這個客戶是一家化工企業，網路規模不大。十多臺交換機組成的區域網，節點大約150個左右。沒有劃分VLAN，—部分主機執行IPX協議，另一部分執行TCP/IP協議。其中只有少數主機可以訪問Internet，接入模式為ADSL路由器直接連線網路中的一臺交換機。ADSL路由器中啟用了其自帶防火牆功能，所有可以上網的主機安裝了防病毒軟體。

　　2.故障描述

　　最近的某一天，整個網路突然癱瘓。可以看到所有交換機埠指示燈急速閃爍，測試得知網路中任意兩臺主機之間不能相互ping通，所有網路應用均不能正常進行。在拔掉部分網線***交換機之間的級連線***後，症狀有所減緩，最後恢復正常。將拔掉的網線逐一插回原位，故障現象未重新出現。此後這種現象不定時、無規律地出現。

　　3.故障分析

　　基於故障發生時交換機埠指示燈急速閃爍、網路中任意兩臺主機之間相互不能ping通這一現象，初步斷定此時網路中充斥了大量的廣播包，耗盡了網路資源。那麼這些突然出現的巨量廣播包是哪裡來的呢?為查詢廣播源，在故障出現時，使用Sninffer軟體捕捉資料包。結果發現，網路中並沒有出現原來估計的廣播包，卻有大量的不正常單目IP資料包。

　　4.排除故障

　　通過分析發現，這些資料包是主機172.*.*.1l傳送給主機219.*.*.88的，傳送速度不小於每秒l萬5千個。詢問管理員得知，172.*.*.1l是內網的一臺可以訪問Internet的主機。這明顯是不正常的，將該可疑主機斷開後，問題解決。

　　5.深入分析

　　網路故障雖然排錯，但小編感覺一切並沒有這麼簡單。因為按常理，傳送給主機219.*.*.88的資料包不是廣播包，不應該被髮送到執行Sniffer主機所在的交換機埠。很明顯，這些資料包在網路中以廣播的形式被髮送了。如此數量的廣播包充斥網路，正是造成網路癱瘓的罪魁禍首。

　　***1***.區域網主機成了傀儡

　　為搞清故障原因，在可疑主機上安裝Sniffer，分析網路行為。通過抓包分析發現，一旦連線Internet，該主機主動連線到外網中一FTP伺服器，並下載文字檔案ddos.txt。那麼，ddos.txt檔案內容中有什麼呢?原來是一個IP地址和8O埠。然後，對資料包進一步分析發現所有資料包的目標主機正好是ddos.txt中指定的IP地址。這些無意義的資料包之所以使用8O埠，是為了突破防火牆的限制。原來，這臺主機“有幸”成了一次分散式拒絕服務攻擊***DDoS***的傀儡機。每次連線E互連網，自動到一個FTP伺服器下載檔案ddos.txt，如果該檔案為空，則繼續以一定時間間隔下載檔案，直到獲得的檔案中有目標主機的IP地址和埠後，即開始向目標主機展開DoS攻擊。這正是網路故障現象不定時、無規律地出現的原因。

　　***2***.ADSL路由器被“淹沒”

　　另一個問題是，這些攻擊包應該是從傀儡機發送到ADSL路由器，然後到Internet中目標主機的，並不是通常所說的廣播包，為什麼交換機以廣播的形式傳送這些廣播包呢?分析可能原因只有一個：此時交換機的地址轉發表***CAM***中沒有ADSL路由器內網介面的實體地址，引起交換機將單目包廣播到所有交換機埠。

　　開始時，交換機地址轉發表中包含ADSL路由器的實體地址。那麼，傀儡機開始攻擊後，網路中形成一個穩定的攻擊資料流：傀儡機→若干交換機→ADSL路由器→被攻擊的目標主機。此時對內網的影響僅僅是某些交換機的埠和ADSL路由器，ADSL路由器因為忙於處理大量的攻擊包而被“淹沒”，會導致內網中主機訪問互連網出現問題。下點!應該懂了吧!

　　***3***.互動導致的廣播風暴

　　什麼原因導致交換機的地址轉發表丟棄了ADSL路由器內網介面的實體地址暱?有兩種情況：一是預設情況下，5分鐘內，如果交換機沒有接到某個裝置傳送的資料幀，則認為該裝置已經宕機，為節省資源，將從CAM表中刪除該地址。二是當STP協議探測到網路拓撲有改變時，將清空所有未重新整理的CAM表項。假定此時有人因為不能上網而重新啟動主機，或插撥網線，則會引起交換機埠狀態發生變化。此時，交換機認為網路拓撲發生了變化，它的下—個動作是通知所有交換機，15秒內清除未被刷***轉發表表項。

　　這裡的“未被重新整理”是指，交換機沒有收到以該實體地址為源地址的資料幀，也就是說，該裝置沒有傳送資料幀經過交換機到其他裝置，那麼該裝置的實體地址在交換機的地址轉發表中將被清除。以後，所有以該裝置實體地址為目的地址的資料幀，雖然不是廣播幀，也將被髮送到交換機的所有埠，這就是平時所說的廣播風暴。

　　***4***.故障形成過程

　　通過上面的分析，最後回到我們的例子理一理這次故障形成的過程。在傀儡機的攻擊行為開始後，小小的ADSL路由器每秒要接收、處理不少於l5o00個數據包，它縱然是有三頭六臂，也沒機會向交換機發送資料包了。也就是說，它現在是隻有接受沒有傳送，沒辦法重新整理交換機cAM表中的相關表項。那麼，快的話15秒後，慢的話5分鐘，交換機就會清除ADSL路由器的實體地址記錄。別忘了，此時攻擊資料流並沒有停止，而這些攻擊資料幀恰恰是以ADSL路由器實體地址為目的地址的，這樣，災難發生了，所有資料幀被廣播到網路中每臺交換機中的每—個埠。

　　6.解決方案

　　這此網路故障從表面上看是由一臺傀儡主機引起的，具有一定的偶然性。但從根本上來說是必然，不合理的網路結構是造成這次故障的關鍵因素。小編給出的解決方案是：

　　***1***.將充當傀儡機的電腦從網路中斷開後，重新安裝系統，徹底杜絕隱患。

　　***2***.加強本地網路安全防範措施的同時，對原網路結構進行調整：據不同應用分成幾個VLAN，將可以上網的機劃分到某個特定VLAN中，限定此類故障的影響範圍。

　　***3***.將連線主機的埠配置為STP速埠，不參與STP協議，可以減少網路中交換機不

　　必要的拓撲改變操作。

　　就這次網路排錯小編的啟示是：網路排錯類同於醫生治病，庸醫往往是“頭痛醫頭，腳痛醫教”不會從根上進行醫治，而高明的醫生卻往往是治本。網路排錯何嘗不是呢?