网络广播风暴的影响及应对措施Word格式.docx
《网络广播风暴的影响及应对措施Word格式.docx》由会员分享,可在线阅读,更多相关《网络广播风暴的影响及应对措施Word格式.docx(13页珍藏版)》请在冰豆网上搜索。
损坏的网卡,不停向交换机发送大量的数据包,产生了大量无用的数据包,占用网络带宽引发广播风暴。
由于网卡物理损坏引起的广播风暴,故障比较难排除,损坏的网卡一般还能上网,我们一般用Sniffer协议类分析软件,查看网络数据流量,来判断故障点的位置。
2、网络环路:
曾经在一次的网络故障排除中,发现一个低层次的错误,一条双绞线,两端插在同一个集线器或交换机的不同端口上,导致了网络性能骤然下降,打开内网网页和应用系统都非常困难。
网络环路示意图
这种故障,就是典型的网络环路。
网络环路的产生,一般是由于一条物理网络线路的两端,同时接在了一台网络设备中,现在的交换机(不是HUB)一般都带有环路检测功能,缺省状态下,环路检测功能一般都处于关闭状态。
3、网络病毒:
目前,一些比较流行的网络病毒,Funlove、震荡波、RPC等病毒,一旦有机器中毒后,会立即通过网络进行传播。
网络病毒的传播,就会损耗大量的网络带宽,引起网络堵塞,引发广播风暴。
三、广播风暴解决及预防办法
1.接入层拓扑环引发广播风暴
当网络中存在环路,就会造成每一帧都在网络中重复广播,引起广播风暴。
要消除这种网络循环连接带来的网络广播风暴可以使用STP协议(生成树协议),以网络中一台交换机为节点生成一棵转发树,这样所有的数据都只在这棵树所指示的路径上传输,就不会产生广播风暴——因为树没有环路。
但因为STP算法开销太大,交换机默认都没启用该协议。
对策:
在接入层启用树生成协议,或者在诊断故障时打开树生成协议,以便协助确定故障点。
在广播风暴发生时,应首先了解发生故障前网络的改动,建立完善的网络文档资料,包括:
网络布线图、IP地址和MAC地址对应表等,现在可以通过局域网工具软件来扫描获取这些信息。
2.集线器拓扑环引发广播风暴
可网管的交换机由于具备树生成协议功能,可自动切断级联交换机之间的冗余端口,避免网路偶拓扑环的产生,但这个功能,集线器并不具备。
在同一集线器上的不同端口,或集线器之间有冗余的连接,就导致网络拓扑环的发生,进而导致网络广播风暴,造成网络通讯失败。
对策:
用于级联交换机或集线器的跳线应当做一些特殊标记,最好选择使用不同颜色的跳线,与其他普通跳线相区别。
3.网卡损坏或者交换机端口损坏引发广播风暴
当交换机有一个端口传输速率非常缓慢,最后导致整台交换机都慢下来,如果交换机是可网管型的,可通过控制台检查交换机的状态,如发现交换机的缓冲池增长的非常快,达到90%乃至更多。
一般来说,这种原因是因为交换机与所连接的计算机之间发送大量的广播造成,通常是因为连接该计算机的网卡损坏,导致不断的发送广播包造成,也有可能是因为网卡与交换机形成了回路,广播包阻塞不能及时发出。
可将其他正常的计算机接到有问题的端口上,如果故障解决,则是原先计算机的网卡损坏或网络故障所致,更换新网卡并检测线路及网络配置即可解决。
如果故障依旧,则说明原先计算机的网卡未损坏,可能是交换机的该端口已损坏,检查该端口的指示灯,如确认是该端口损坏,应及时更换交换机将端口损坏交换机送修或者将计算机连接到其他端口,但不要擅自修理交换机,否则损坏交换机得不偿失。
4.蠕虫病毒引发广播风暴
当网络中某计算机感染蠕虫病毒时,如Funlove、震荡波、RPC等病毒,如果查看该网卡的发送包和接收包的数量时发现发包数在快速增加,则说明该计算机感染了蠕虫病毒,通过网络传播,损耗大量的网络带宽,引起网络堵塞,导致广播风暴。
为每台计算机安装杀毒软件,并配置补丁服务器(WSUS)来保证局域网内所有的计算机都能及时打上最新的补丁并能防御查杀最新病毒。
5.ARP攻击导致广播风暴
计算机不断出现IP地址冲突的提示,重启后不久就重新出现这种情况,升级到最新病毒库却未查出病毒。
这种现象,是因为局域网中有计算机感染了病毒,不断的向局域网发送广播,并采用了IP地址欺骗和MAC地址欺骗的方法以躲过扫描。
也有可能是有人在局域网中使用了黑客软件,如网络执法官、网络剪刀手等黑客软件,对局域网进行攻击,也是采用了ARP攻击导致了广播风暴。
为计算机安装防范ARP攻击的软件,如360安全卫士的局域网ARP攻击拦截的保护功能等;
对局域网内每一台计算机绑定网管的IP和其MAC地址;
给每一台计算机安装最新补丁,最好通过在局域网内架设补丁服务器(WSUS)来确保每一台计算机都能打上最新的补丁程序,如关键更新、安全更新和ServicePack;
给系统管理员帐户设置足够复杂的强密码;
经常更新杀毒软件的病毒库和网络软件防火墙的规则库;
关闭一些不需要的服务。
ARP欺骗和攻击问题,是企业网络的心腹大患。
关于这个问题的讨论已经很深入了,对ARP攻击的机理了解的也很透彻,各种防范措施也层出不穷。
目前很多种ARP防范措施,一是解决措施的防范能力有限,并不是最根本的办法。
二是对网络管理约束很大,不方便不实用,不具备可操作性。
三是某些措施对网络传输的效能有损失,网速变慢,带宽浪费,也不可取。
三种常见防范ARP措施的分析
1)双绑措施
双绑是在路由器和终端上都进行IP-MAC绑定的措施,它可以对ARP欺骗的两边,伪造网关和截获数据,都具有约束的作用。
这是从ARP欺骗原理上进行的防范措施,也是最普遍应用的办法。
它对付最普通的ARP欺骗是有效的。
在路由器上做IP-MAC表的绑定工作,费时费力,是一项繁琐的维护工作。
换个网卡或更换IP,都需要重新配置路由,是网络维护的巨大负担。
双绑只是让网络的两端电脑和路由不接收相关ARP信息,但是大量的ARP攻击数据还是能发出,还要在内网传输,大幅降低内网传输效率,依然会出现问题。
因此,虽然双绑曾经是ARP防范的基础措施,但因为防范能力有限,管理太麻烦,现在它的效果越来越有限了。
2)ARP个人防火墙
在一些杀毒软件中加入了ARP个人防火墙的功能,它是通过在终端电脑上对网关进行绑定,保证不受网络中假网关的影响,从而保护自身数据不被窃取的措施。
ARP防火墙使用范围很广,ARP个人防火墙起到的作用,就是防止自己的数据不会被盗取,而整个网络的问题,如掉线、卡滞等,ARP个人防火墙是无能为力的。
因此,ARP个人防火墙并没有提供可靠的保证。
最重要的是,它是跟网络稳定无关的措施,它是个人的,不是网络的。
3)VLAN和交换机端口绑定
通过划分VLAN和交换机端口绑定,以图防范ARP,也是常用的防范方法。
做法是细致地划分VLAN,减小广播域的范围,使ARP在小范围内起作用,而不至于发生大面积影响。
同时,一些网管交换机具有MAC地址学习的功能,学习完成后,再关闭这个功能,就可以把对应的MAC和端口进行绑定,避免了病毒利用ARP攻击篡改自身地址。
也就是说,把ARP攻击中被截获数据的风险解除了。
这种方法确实能起到一定的作用。
但是实施交换机端口绑定,必定要全部采用高级的网管交换机、三层交换机,整个交换网络的造价大大提高。
相对来说,这种方法是现今企业较常用,也是预防ARP攻击的较有效的方法,但是因为交换网络本身就是无条件支持ARP操作的,就是它本身的漏洞造成了ARP攻击的可能,它上面的管理手段不是针对ARP的。
因此,在现有的交换网络上实施ARP防范措施,属于以子之矛攻子之盾。
而且操作维护复杂。
6.网络视频引发广播风暴
部分视频网络传输设备为了便于网络视频点播,常常采用UDP的方式,以广播数据包的形式对外进行发送,如果在专用网络中也使用这种方式,很容易引发广播风暴,导致网络阻塞,因此必须通过相关设置来杜绝这类故障。
将视频网络传输设备所连接的交换机端口进行一些设置,对设备本身的网络传输模式以及传送协议类型进行更改,消除网络广播风暴。
四、广播风暴实战案例
1.网络环路引发广播风暴
Ø
故障描述
某日,部分部门反映应用系统无法使用,严重影响工作的正常有序运行,经查各地区网络出现速度慢,并且时断时续,所有应用均不能正常使用。
故障排除
首先检查各地区间主干光纤传输链路是否正常,排除主干光纤传输链路问题,初步确定为广播风暴导致,采用排除法,分别断开各区域间主干传输链路,最终确定为某园区引发此次广播风暴。
迅速联系该园区网络管理员,检查该园区网络拓扑的最新变化,了解到某部门网络拓扑昨日发生变化,新连接一台集线器,增加了部分终端,目标锁定,现场对该网络拓扑进行检查,发现集线器两个端口由一根网络跳线连接,形成环路引发广播风暴,去除此跳线后,网络恢复正常。
故障分析及预防
此种故障影响面大,迅速,根据网络拓扑新增和变化情况,较容易发现并排除。
应建立完整的文档,并及时更新网络拓扑,禁止私自变动网络拓扑结构,应申请由网络管理员完成,或采用不同颜色的级联跳线,避免误操作引发广播风暴。
2.病毒引发广播风暴
某日,部分部门反映应用系统登录速度慢,或提示连接应用系统错误,严重影响工作的正常有序进行,经查各地区网络出现速度慢,并且时断时续,所有应用均不能正常使用。
首先检查各地区间主干光纤传输链路是否正常,排除主干光纤传输链路问题,登录交换机,发现交换机间断性重启,导致网络时断时续,初步确定为广播风暴,导致交换机的缓冲池溢出,交换机重启。
采用排除法,分别断开各区域间主干传输链路,最终确定为某园区引发此次广播风暴。
检查该园区网络拓扑结构变化情况,确定无变化,排除环路引发广播风暴的可能,由此推断可能是病毒引发风暴,但当时该园区划分了二十多个VLAN,近300台计算机终端,要在如此多终端中找出引发风暴的计算机终端并不是一件易事,
因此我们采用Snifferpro(协议类分析软件)来检测广播风暴。
Sniffer,又称“嗅探器”,是一种基于被动侦听原理的网络分析方式,一种利用以太网的特性把网络适配卡置为杂乱(promis-cuous)模式状态的工具,一旦网卡设置为这种模式它就能接收传输在网络上的每一个信息包,该网卡具备“广播地址”它对所有遇到的每一个数据帧都产生一个硬件中断以便提醒操作系统处理流经该物理媒体上的每一个报文包。
使用这种技术方式,可以监视网络的状态、数据流动情况以及网络上传输的信息。
这样不管它的接受者或发送者,是不是运行Sniffer的主机,Sniffer将数据存入log文件,当信息以明文的形式在网络上传输时,便可以使用网络监听的方式来进行攻击。
将网络接口设置在监听模式,便可以将网上传输的源源不断的信息截获。
Sniffer工作在网络环境中的底层,它会拦截所有的正在网络上传送的数据,并且通过相应的软件处理,可以实时分析这些数据的内容,进而分析所处的网络状态和整体布局。
值得注意的是:
Sniffer是极其安静的,它是一种消极的安全攻击。
Sniffer技术被广泛地应用于网络故障诊断、协议分析、应用性能分析和网络安全保障等各个领域。
广播风暴检测地点内部网络中心机房,使用网管专用笔记本电脑,Windowsxp操作系统,安装Snifferpro软件,接入核心交换机,其拓扑构建如下:
流量监测拓扑构建示意图
SnifferPRO做为协议类分析软件,可以检测到广播数据,并以更为人性化的图表形式展现出来。
为了确定产生风暴的原因,使用Sniffer的另外一个流量监控功能HostTable,它可监控网络中每台计算机的流量状况,包括每台计算机收到的数据包数、数据包字节数、每台计算机发出的数据包数、发出数据包的字节数、总的包数和总的字节数等流量信息。
从而准确定位是哪台机器在实施“广播风暴”攻击。
我们使用Sniffer中的主机列表功能,根据各vlan内计算机终端收到和发出的数据包字节数,以及广播数据包的数量,查看网络中哪些机器的流量最大,
Sniffer流量监测情况示意图
并结合矩阵就可以看出哪台机器数据流量异常。
Sniffer矩阵示意图
从而,在最短的时间内,判断网络的具体故障点,锁定实施“广播风暴”攻击的计算机终端ip地址,根据ip地址对应表查找到该计算机终端,断开该终端的网络链接后,网络恢复正常,对该终端实施升级病毒库,进行全盘杀毒,清除掉所有病毒后,接入网络,内部网络运行正常,不再引发“广播风暴”。
此种故障由网络内某台计算机终端感染蠕虫病毒引发,影响面大,迅速,故障点难于判断,需采用流量监控类软件,例如Snifferpro来查找流量异常的故障点。
此种故障应及时更新病毒库,或在内部网络部署网络版杀毒软件,定期进行全盘杀毒,在数据导入点部署单机版杀毒软件,对所有导入数据进行杀毒操作,从根源上消除感染病毒的可能。
五、广播风暴-网管经验总结
作为网络管理员,在面对网络广播风暴发生时,要冷静分析广播风暴产生的原因,可使用二分法、排除法、替换法和网线插拔法等多种方法综合运用,一步一步地进行故障排除,快速定位引发广播风暴的故障点,查出引发广播风暴的原因,及时采取相应措施来消灭广播风暴。
总的来看,要解决广播风暴的问题,可以从以下几个方面入手:
在局域网中安装WSUS补丁服务器,保证局域网所有计算机都能及时打上最新的补丁。
最好在局域网内安装网络版的防毒服务器,如无条件,起码也得保证单机版的防毒软件的病毒库是经常更新的。
检查每一台计算机的网卡、网线和交换机的每一个端口,检查是否有故障。
当广播风暴发生时,观察交换机的指示灯不啻为很好的方法,可直接观察网络连通性及网络流量。
并采用网络流量检测工具,根据流量异常情况,判断故障点。
要避免广播风暴,可以采用恰当划分VLAN、缩小广播域、隔离广播风暴,终端和交换机端口进行MAC和IP地址绑定,还可在千兆以太网口上启用广播风暴控制,最大限度地避免网络再次陷入瘫痪。
当端口接受到大量的广播、单播或组播的包时,就会发生广播风暴。
转发这些包会导致网络速度变慢或超时,在交换机上借助对端口的广播风暴控制可以有效避免硬件损坏或链路故障导致的广播风暴的网络瘫痪。
从实际经验来看,90%以上的网络广播风暴是病毒所致,因此,在局域网中配备防病毒系统,购置IDS入侵检测系统、网络流量检测工具等,以加强网络病毒的防治,加强对网络线路运行状态的监控,及时发现和处理网络上的异常流量和病毒攻击等问题,并制定计算机安全管理制度,确保网络线路的正常运行。
参考文献:
网络相关文档
Sniffer使用手册
毕业设计(论文)原创性声明和使用授权说明
原创性声明
本人郑重承诺:
所呈交的毕业设计(论文),是我个人在指导教师的指导下进行的研究工作及取得的成果。
尽我所知,除文中特别加以标注和致谢的地方外,不包含其他人或组织已经发表或公布过的研究成果,也不包含我为获得及其它教育机构的学位或学历而使用过的材料。
对本研究提供过帮助和做出过贡献的个人或集体,均已在文中作了明确的说明并表示了谢意。
作者签名:
日 期:
指导教师签名:
日 期:
使用授权说明
本人完全了解大学关于收集、保存、使用毕业设计(论文)的规定,即:
按照学校要求提交毕业设计(论文)的印刷本和电子版本;
学校有权保存毕业设计(论文)的印刷本和电子版,并提供目录检索与阅览服务;
学校可以采用影印、缩印、数字化或其它复制手段保存论文;
在不以赢利为目的前提下,学校可以公布论文的部分或全部内容。
作者签名:
日 期:
学位论文原创性声明
本人郑重声明:
所呈交的论文是本人在导师的指导下独立进行研究所取得的研究成果。
除了文中特别加以标注引用的内容外,本论文不包含任何其他个人或集体已经发表或撰写的成果作品。
对本文的研究做出重要贡献的个人和集体,均已在文中以明确方式标明。
本人完全意识到本声明的法律后果由本人承担。
日期:
年月日
学位论文版权使用授权书
本学位论文作者完全了解学校有关保留、使用学位论文的规定,同意学校保留并向国家有关部门或机构送交论文的复印件和电子版,允许论文被查阅和借阅。
本人授权 大学可以将本学位论文的全部或部分内容编入有关数据库进行检索,可以采用影印、缩印或扫描等复制手段保存和汇编本学位论文。
涉密论文按学校规定处理。
日期:
导师签名:
日期:
致谢
时间飞逝,大学的学习生活很快就要过去,在这四年的学习生活中,收获了很多,而这些成绩的取得是和一直关心帮助我的人分不开的。
首先非常感谢学校开设这个课题,为本人日后从事计算机方面的工作提供了经验,奠定了基础。
本次毕业设计大概持续了半年,现在终于到结尾了。
本次毕业设计是对我大学四年学习下来最好的检验。
经过这次毕业设计,我的能力有了很大的提高,比如操作能力、分析问题的能力、合作精神、严谨的工作作风等方方面面都有很大的进步。
这期间凝聚了很多人的心血,在此我表示由衷的感谢。
没有他们的帮助,我将无法顺利完成这次设计。
首先,我要特别感谢我的知道郭谦功老师对我的悉心指导,在我的论文书写及设计过程中给了我大量的帮助和指导,为我理清了设计思路和操作方法,并对我所做的课题提出了有效的改进方案。
郭谦功老师渊博的知识、严谨的作风和诲人不倦的态度给我留下了深刻的印象。
从他身上,我学到了许多能受益终生的东西。
再次对周巍老师表示衷心的感谢。
其次,我要感谢大学四年中所有的任课老师和辅导员在学习期间对我的严格要求,感谢他们对我学习上和生活上的帮助,使我了解了许多专业知识和为人的道理,能够在今后的生活道路上有继续奋斗的力量。
另外,我还要感谢大学四年和我一起走过的同学朋友对我的关心与支持,与他们一起学习、生活,让我在大学期间生活的很充实,给我留下了很多难忘的回忆。
最后,我要感谢我的父母对我的关系和理解,如果没有他们在我的学习生涯中的无私奉献和默默支持,我将无法顺利完成今天的学业。
四年的大学生活就快走入尾声,我们的校园生活就要划上句号,心中是无尽的难舍与眷恋。
从这里走出,对我的人生来说,将是踏上一个新的征程,要把所学的知识应用到实际工作中去。
回首四年,取得了些许成绩,生活中有快乐也有艰辛。
感谢老师四年来对我孜孜不倦的教诲,对我成长的关心和爱护。
学友情深,情同兄妹。
四年的风风雨雨,我们一同走过,充满着关爱,给我留下了值得珍藏的最美好的记忆。
在我的十几年求学历程里,离不开父母的鼓励和支持,是他们辛勤的劳作,无私的付出,为我创造良好的学习条件,我才能顺利完成完成学业,感激他们一直以来对我的抚养与培育。
最后,我要特别感谢我的导师刘望蜀老师、和研究生助教吴子仪老师。
是他们在我毕业的最后关头给了我们巨大的帮助与鼓励,给了我很多解决问题的思路,在此表示衷心的感激。
老师们认真负责的工作态度,严谨的治学精神和深厚的理论水平都使我收益匪浅。
他无论在理论上还是在实践中,都给与我很大的帮助,使我得到不少的提高这对于我以后的工作和学习都有一种巨大的帮助,感谢他耐心的辅导。
在论文的撰写过程中老师们给予我很大的帮助,帮助解决了不少的难点,使得论文能够及时完成,这里一并表示真诚的感谢。
目录
第一章总论1
第一节项目名称及承办单位1
第二节研究工作的依据与范围2
第三节简要研究结论3
第四节主要经济技术指标5
第二章项目提出的背景及必要性7
第一节项目提出的背景7
第二节项目建设的必要性13
第三章市场预测与需求分析19
第一节车用生物燃气市场发展分析19
第二节有机肥市场分析23
第四章建设规模与产品方案29
第一节建设规模29
第二节产品方案29
第五章厂址选择与建设条件31
第一节厂址方案31
第二节建设条件32
第六章工艺技术方案40
第一节项目组成40
第二节生产技术方案40
第三节生产设备53
第七章原辅材料供应56
第一节原辅材料供应56
第二节公用设施58
第八章工程建设方案59
第一节总图运输59
第二节建筑结构工程62
第三节公用工程70
第九章环境保护、劳动安全卫生75
第一节环境保护75
第二节劳动安全卫生77
第十章节能与消防84
第一节节能84
第二节消防89
第十一章企业组织与劳动定员92
第一节企业组织92
第二节劳动定员92
第三节人员培训93
第十二章项目实施进度计划94
第十三章建设项目招标方案95
第十四章投资估算与资金筹措97
第一节投资估算97
第二节资金筹措98
第十五章财务评价100
第十六章社会影响分析105
第一节社会效益分析105
第二节社会风险分析106
升级会员 