win7系統(tǒng)下載
當(dāng)前位置: 首頁(yè) > 網(wǎng)絡(luò)技術(shù)教程 > 詳細(xì)頁(yè)面

3.2.3 網(wǎng)絡(luò)環(huán)路輕視不得 故障區(qū)分

發(fā)布時(shí)間:2023-01-10 文章來(lái)源:深度系統(tǒng)下載 瀏覽:

網(wǎng)絡(luò)技術(shù)是從1990年代中期發(fā)展起來(lái)的新技術(shù),它把互聯(lián)網(wǎng)上分散的資源融為有機(jī)整體,實(shí)現(xiàn)資源的全面共享和有機(jī)協(xié)作,使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計(jì)算機(jī)、存儲(chǔ)資源、數(shù)據(jù)資源、信息資源、知識(shí)資源、專家資源、大型數(shù)據(jù)庫(kù)、網(wǎng)絡(luò)、傳感器等。 當(dāng)前的互聯(lián)網(wǎng)只限于信息共享,網(wǎng)絡(luò)則被認(rèn)為是互聯(lián)網(wǎng)發(fā)展的第三階段。
故障分析
一起典型的網(wǎng)絡(luò)環(huán)路故障,用協(xié)議分析工具Sniffer抓了這么多的數(shù)據(jù)包,經(jīng)過(guò)一番分析卻沒(méi)看出問(wèn)題來(lái)。顯然,第一眼看到大量的SYN包讓我們產(chǎn)生了錯(cuò)覺(jué),想當(dāng)然地就以為是SYN Flood攻擊。事后,我們就這起網(wǎng)絡(luò)環(huán)路故障排除過(guò)程做了檢討,重新仔細(xì)地分析抓回來(lái)的這些數(shù)據(jù)包,據(jù)此解釋一下前面提到這些數(shù)據(jù)包所具有的5個(gè)共同特征,以便今后遇到同類(lèi)問(wèn)題時(shí)能及時(shí)做出正確的反應(yīng)。
先看前4個(gè)特征:匯聚交換機(jī)是網(wǎng)絡(luò)層設(shè)備,該大樓所屬VLAN的網(wǎng)絡(luò)層接口就設(shè)置在這臺(tái)匯聚交換機(jī)上,出于實(shí)施網(wǎng)絡(luò)管理策略的需要,對(duì)已注冊(cè)或沒(méi)注冊(cè)的IP地址都進(jìn)行了MAC地址的綁定。TCP連接要經(jīng)過(guò)3次握手才能建立起來(lái),在這里發(fā)起連接的SYN包長(zhǎng)度為28字節(jié),加上14字節(jié)的以太幀頭部和20字節(jié)的IP報(bào)頭,由Sniffer捕獲到的幀長(zhǎng)度共為62字節(jié)(不包含4字節(jié)的差錯(cuò)檢測(cè)FCS域)。恰巧當(dāng)時(shí)訪問(wèn)該VLAN的單播幀來(lái)自外網(wǎng)的TCP請(qǐng)求包,根據(jù)以太網(wǎng)橋的轉(zhuǎn)發(fā)機(jī)制,通過(guò)CRC正確性檢測(cè)后,因已做靜態(tài)ARP配置,這臺(tái)匯聚交換機(jī)會(huì)將該單播幀的源MAC地址轉(zhuǎn)換成本機(jī)的MAC地址,其目的MAC地址依據(jù)綁定參數(shù)來(lái)更換,并重新計(jì)算CRC值,更新FCS域,經(jīng)過(guò)這樣重新封裝后,再轉(zhuǎn)發(fā)到那棟樓的接入交換機(jī)。
再看最后1個(gè)特征:我們把圖2所示的拓?fù)鋱D抽象為如圖3所示的由網(wǎng)橋A、B、C和D構(gòu)成的拓?fù)鋱D。網(wǎng)橋是一種存儲(chǔ)轉(zhuǎn)發(fā)設(shè)備,用來(lái)連接相似的局域網(wǎng)。這些網(wǎng)橋在所有端口上監(jiān)聽(tīng)著傳送過(guò)來(lái)的每一個(gè)數(shù)據(jù)幀,利用橋接表作為該數(shù)據(jù)幀的轉(zhuǎn)發(fā)依據(jù)。橋接表是MAC地址和用于到達(dá)該地址的端口號(hào)的一個(gè)“MAC地址-端口號(hào)”列表,它利用數(shù)據(jù)幀的源MAC地址和接收該幀的端口號(hào)來(lái)刷新。網(wǎng)橋是這樣來(lái)使用橋接表的:當(dāng)網(wǎng)橋從一個(gè)端口接收到一個(gè)數(shù)據(jù)幀時(shí),會(huì)先刷新橋接表,再在其橋接表中查找該幀的目的MAC地址。如果找到,就會(huì)從對(duì)應(yīng)這個(gè)MAC地址的端口轉(zhuǎn)發(fā)該幀(如果這個(gè)轉(zhuǎn)發(fā)端口與接收端口是相同的,就會(huì)丟棄該幀)。如果找不到,就會(huì)向除了接收端口以外的其他端口轉(zhuǎn)發(fā)該幀,即廣播該幀。這里假定在整個(gè)轉(zhuǎn)發(fā)過(guò)程中,網(wǎng)橋A、B、C和D都在其橋接表中查找不到該數(shù)據(jù)幀的目的MAC地址,即這些網(wǎng)橋都不知道應(yīng)該從哪個(gè)端口轉(zhuǎn)發(fā)該幀。當(dāng)網(wǎng)橋A從上聯(lián)端口接收到一個(gè)來(lái)自上游網(wǎng)絡(luò)的單播幀時(shí),會(huì)廣播該幀,網(wǎng)橋B、C收到后也會(huì)廣播該幀,網(wǎng)橋D收到分別來(lái)自網(wǎng)橋B、C的這個(gè)單播幀,并分別經(jīng)網(wǎng)橋C、B傳送回網(wǎng)橋A,到此網(wǎng)橋A收到了該單播幀的兩個(gè)副本。在這樣的循環(huán)轉(zhuǎn)發(fā)過(guò)程中,網(wǎng)橋A不停地在不同端口(這時(shí)已經(jīng)不涉及上聯(lián)端口了)接收到相同的幀,由于接收端口在改變,橋接表也在改變“源MAC-端口號(hào)”的列表內(nèi)容。前面已經(jīng)假定網(wǎng)橋的橋接表中沒(méi)有該幀的目的MAC地址,網(wǎng)橋A在分別收到這兩個(gè)單播幀后,都只能再次向除了接收端口以外的其他端口廣播該幀,故該幀也會(huì)向上聯(lián)端口轉(zhuǎn)發(fā)。
就每個(gè)單播幀而言,網(wǎng)橋A重復(fù)前面提到的過(guò)程,理論上,廣播一次會(huì)收到21個(gè)幀,廣播兩次就會(huì)收到22個(gè)幀……廣播到第n次就會(huì)收到2n個(gè)幀?傊W(wǎng)橋A照這樣轉(zhuǎn)發(fā)下去,很快就會(huì)形成廣播風(fēng)暴,這個(gè)單播幀的副本最終會(huì)消耗完100BASE-X端口帶寬。盡管在這期間上聯(lián)端口會(huì)有許多數(shù)據(jù)幀在相互碰撞而變的不完整,令Sniffer捕獲不到,但可以想象得到,這個(gè)單播幀的重復(fù)出現(xiàn)次數(shù)仍然會(huì)非常多。我們?cè)俅螜z查那些抓回來(lái)的數(shù)據(jù)包,幾乎都發(fā)現(xiàn)有當(dāng)時(shí)沒(méi)有注意到的重復(fù)標(biāo)志(Retransmission of Frame n,這里的n是整數(shù),表示接收到的第幾個(gè)幀,見(jiàn)圖1)。按64字節(jié)包長(zhǎng)來(lái)計(jì)算,以太網(wǎng)交換機(jī)的100BASE-FX端口轉(zhuǎn)發(fā)線速可達(dá)144000pps。在這種網(wǎng)絡(luò)環(huán)路狀態(tài)下,Sniffer完全有可能每秒抓到10萬(wàn)多個(gè)包長(zhǎng)為66字節(jié)的數(shù)據(jù)包。
基于上述理由,由于當(dāng)時(shí)那4臺(tái)交換機(jī)(如圖2所示)的橋接表中都沒(méi)有該包的目的MAC地址,處于上游網(wǎng)絡(luò)的這臺(tái)匯聚交換機(jī)向該大樓發(fā)送了一個(gè)TCP請(qǐng)求包后,就會(huì)不斷地收到由該大樓接入交換機(jī)轉(zhuǎn)發(fā)回來(lái)的該TCP包的副本,而且數(shù)量非常多(形成大流量),然而,它并不會(huì)把接收到的這些包重發(fā)回去;Internet的網(wǎng)絡(luò)應(yīng)用是基于請(qǐng)求/應(yīng)答模式的,只有發(fā)送/接收兩條信道都暢通,才能進(jìn)行端到端的通信。一旦本次網(wǎng)絡(luò)應(yīng)用中有一條信道被堵塞了,就會(huì)使得該應(yīng)用因無(wú)法進(jìn)行而結(jié)束。網(wǎng)絡(luò)應(yīng)用結(jié)束后,一般來(lái)說(shuō),發(fā)起請(qǐng)求一方不會(huì)就本次應(yīng)用再次自動(dòng)發(fā)出請(qǐng)求包。于是,在網(wǎng)絡(luò)環(huán)路狀態(tài)中普遍會(huì)有一條信道有大流量,另一條信道幾乎沒(méi)有流量的現(xiàn)象。因?yàn)閂LAN有隔離廣播域的功能,這些大流量不會(huì)穿越網(wǎng)絡(luò)層,所以不會(huì)對(duì)匯聚交換機(jī)造成很大壓力。
事實(shí)上,由于這種網(wǎng)絡(luò)環(huán)路是數(shù)據(jù)鏈路層上的故障,只涉及到源MAC地址和目的MAC地址,不管高層封裝的是什么類(lèi)型的包都有可能引起廣播風(fēng)暴。也就是說(shuō),當(dāng)時(shí)用Sniffer抓到各種各樣的數(shù)據(jù)包都是有可能的。


網(wǎng)絡(luò)的神奇作用吸引著越來(lái)越多的用戶加入其中,正因如此,網(wǎng)絡(luò)的承受能力也面臨著越來(lái)越嚴(yán)峻的考驗(yàn)―從硬件上、軟件上、所用標(biāo)準(zhǔn)上......,各項(xiàng)技術(shù)都需要適時(shí)應(yīng)勢(shì),對(duì)應(yīng)發(fā)展,這正是網(wǎng)絡(luò)迅速走向進(jìn)步的催化劑。

本文章關(guān)鍵詞: 匯聚交換機(jī) SYN Flood攻擊 Sniff