广播风暴

广播风暴:发现-端口

近日防火墙经常地检测到
"svchost UDP/连入
192.168.1.255/137
192.168.1.66/137 
1055656/1065732
UDP_WAIT 过滤  8:48:31 
C:\WINDOWS\system32\svchost.exe";

 "services  UDP/连出
192.168.1.21/137 
192.168.1.255/137 
920736/913476
UDP_WAIT 过滤  11:46:30  
C:\WINDOWS\system32\service*.**e"

以上两种传输里用的都是137端口.所以这应该不是什么东西在使坏.何况这些都被过滤掉了.但是呢,数据包总是不停的向外发,而且容量都是很大的,这不是占用了很大的网络资源吗?

说到137端口就不得不提到138,139端口.
端口：137、138、139 都是用于服务：NETBIOS Name Service
由于其中137、138是UDP端口，当通过网上邻居传输文件时用这个端口。而139端口：通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于windows文件和打印机共享和SAMBA。还有WINS Regisrtation也用它。

但是两个传输都与192.168.1.255扯到关系了.为什么要用.255?.255在局域网里充当的是什么角色呢?
末位为255的都是网内保留的广播地址。广播意思是在不知道对方ip的情况下把数据包发到*.*.*.255的ip地址.发到这里的包会自动转发给1-254的主机,这样很占网络资源，所以叫“广播风暴”。

然而现在网内一般都有路由器.路由器的功能是选择最短的路径发送数据包.每个数据包的报头其实都有包含ip信息的,所以路由器可以把这些发送到*.255的包截留.

情况到这里好象很明了.但是我仍然有一中感觉,这其中肯定有问题.

广播风暴:分析-硬件

要想正确理解广播风暴的具体含义，我们必须了解一下工作在网络中的网络设备的工作原理。目前，网络中的网络设备，基本上都是交换机了。对于交换机，大家并没有真正的了解其工作原理。

一、交换机基础知识

1. 交换机的定义：交换机是一种基于MAC（网卡的硬件地址）识别，能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。现在，交换机已经替代了我们原来比较熟悉的网络设备集线器，又称Hub。但是这并不意味着，我们不需要了解Hub的基本知识。
2. 集线器的定义：集线器（HUB）属于数据通信系统中的基础设备，它和双绞线等传输介质一样，是一种不需任何软件支持或只需很少管理软件管理的硬件设备。它被广泛应用到各种场合。集线器工作在局域网(LAN)环境，像网卡一样，应用于OSI参考模型第一层，因此又被称为物理层设备。集线器内部采用了电器互联，当维护LAN的环境是逻辑总线或环型结构时，完全可以用集线器建立一个物理上的星型或树型网络结构。在这方面，集线器所起的作用相当于多端口的中继器。其实，集线器实际上就是中继器的一种，其区别仅在于集线器能够提供更多的端口服务，所以集线器又叫多口中继器。
   

二、交换机与集线器的区别

现在，我们经常会存在这样一个技术误区，我们用的是交换机，数据全部是点对点转发的，为什么还会产生广播风暴呢？我们在充分了解了交换机与集线器的功能区别后，就会明白，使用交换机作为网络设备的网络，为什么会出现广播风暴。

三、产生广播风暴的原因
通过对以上网络设备的了解，我们就可以简单分析出来，网络产生广播风暴的原因了。一般情况下，产生网络广播风暴的原因，主要有以下几种：

1. 网络设备原因：我们经常会有这样一个误区，交换机是点对点转发，不会产生广播风暴。在我们购买网络设置时，购买的交换机，通常是智能型的Hub，却被奸商当做交换机来卖。这样，在网络稍微繁忙的时候，肯定会产生广播风暴了。
2. 网卡损坏：如果网络机器的网卡损坏，也同样会产生广播风暴。损坏的网卡，不停向交换机发送大量的数据包，产生了大量无用的数据包，产生了广播风暴。由于网卡物理损坏引起的广播风暴，故障比较难排除，由于损坏的网卡一般还能上网，我们一般借用Sniffer局域网管理软件，查看网络数据流量，来判断故障点的位置。
3. 网络环路：曾经在一次的网络故障排除中，发现一个很可笑的错误，一条双绞线，两端插在同一个交换机的不同商品上，导致了网络性能急骤下降，打开网页都非常困难。这种故障，就是典型的网络环路。网络环路的产生，一般是由于一条物理网络线路的两端，同时接在了一台网络设备中。
4. 网络病毒：目前，一些比较流行的网络病毒，Funlove、震荡波、RPC等病毒，一旦有机器中毒后，会立即通过网络进行传播。网络病毒的传播，就会损耗大量的网络带宽，引起网络堵塞，引起广播风暴。
5. 黑客软件的使用：目前，一些上网者，经常利用网络执法官、网络剪刀手等黑客软件，对网吧的内部网络进行攻击，由于这些软件的使用，网络也可能会引起广播风暴。
   

要想做到对故障的快速判断，良好扎实的基础知识，是不可缺少的。因此大家在日后的学习中，不要忽略了对基础知识的学习！

广播风暴:解决-VLAN技术

网络内计算机数超过一定数量后，就必须采取措施将网络分隔开来，将一个大的广播域划分成若干个小的广播域。

分隔广播域的方式有两种，一是物理分隔，即将一个完整网络物理地一分为二或更多，然后通过一个能够隔离广播的网络设备将彼此连接起来。另一个是逻辑分隔，即将一个大的网络划分为若干个小的虚拟子网(Virtual Local Area Network，VLAN)，各虚拟子网间通过路由设备连接实现通信。比较起来，后一种方式更灵活，因为VLAN技术具有如下优点：

1．降低移动和变更的管理成本

由于学校教学人员的变动比较频繁，如果使用了VLAN，当把一台计算机从一个子网转移到另一个子网，迁移的工作只是在交换机上重新定义VLAN即可，尤其是采用网卡的MAC地址来划分VLAN时，交换机能够自动跟踪该终端的MAC地址，并自动将其纳如定义的VLAN中。对于网络管理而言，可以轻松完成变更。假若使用物理手段划分子网，这种迁移将耗费很多精力和时间。

2．控制广播

由于不同的VLAN都是一个独立的广播域，而广播只能在本地VLAN内进行，从而大大减少了广播对网络带宽的占用，提高了带宽传输效率，并可以有效地避免广播风暴的产生。

3．增强网络的安全性

由于交换机只能在同一VLAN内的端口之间交换数据，不同VLAN的端口不能直接访问，因此，通过划分VLAN可以提高网络的安全性。

4．网络监督和管理的自动化

网络管理员通过网管软件可以查询VLAN间和VLAN内通信数据包的分类信息，以及应用数据包的分类信息，这些信息对确定路由系统和经常访问的服务器的最佳配置十分有用。通过划分VLAN可以使网络管理变得更加简单、有效。

实现VLAN有三种不同的方式：

1. 基于端口的VLAN。即将交换机中的若干个端口定义为一个VLAN，同一个VLAN中的计算机具有相同的网络地址，不同VLAN之间通过三层路由协议进行通信。采用这种VLAN实现方式后，把一个网络节点迁移时，如果新旧端口不在一个VLAN内，则用户必须对该端口重新设置。对于不同年级、科室互相访问时，可以通过路由器转发，并配合MAC地址的端口过滤，这样就可以防止非法入侵和IP地址的盗用问题。
   
2. 基于MAC地址的VLAN。这种VLAN一旦划分完成，无论节点在网络上怎样移动，由于MAC地址保持不变，因此不需要重新配置。但是如果新增加节点的话，需要对交换机进行复杂的配置，以确定该节点属于哪一个VLAN。
   
3. 基于IP地址的VLAN。采用这种方式的VLAN，在新增加节点时，无需进行太多配置，交换机会自动根据IP地址将其划分到不同的VLAN。这个VLAN智能化最高，实现最复杂。一旦离开该VLAN，原IP地址将不可用，从而防止了非法用户通过修改IP地址来越权使用资源。
   

要真正使用VLAN，需要对交换机进行配置。这里对具体的配置方法不再赘述，只是要提醒读者注意，对于不同的交换机，VLAN配置是有差异的，而且也并不是所有的交换机都支持VLAN和VLAN的三个实现途径，有的交换机只支持基于端口的VLAN，而不支持基于MAC地址的VLAN等。在实际工作中，应该结合地理位置、部门的划分和具体的管理需求来选择最合适的实现方式。