广播风暴-如何识别源？

Question

这周我有两种情况，我的上行链路提供商不得不禁用我们的链接，因为他们的路由器识别了一个广播风暴。不幸的是，他们无法提供更多关于问题来源的信息。

找出造成这个问题的原因的最好方法是什么？

我在上行链路提供商和我的网络之间有一个Vyatta路由器。运行"tcpdump广播“并记录它是一个可行的解决方案吗？

这样，也许我至少可以有一个日志和识别if与更多的广播流量，如果这个问题再次发生。

Answer 1

有多种类型的广播。

ARP等协议使用第二层(网络)广播(流量到all-1's MAC地址)来收集有关如何连接到特定节点(通常是IP)的信息。

第三层(IP)广播(传输到子网的最高地址)提供完全不同的功能。

如果您的网络提供商受到第二层广播流量的影响，我很想知道他们的能力水平。

您的网络提供商通常通过IP (第3层)路由器进行连接，该路由器根本不传递第2层通信量。

唯一值得注意的第三层广播是典型的Windows名称服务请求(WINS等)

此行为可能表示路由器上的硬件问题，或终端节点(您的计算机和网络提供商)之间的任何其他点的硬件问题。

Answer 2

我不熟悉Vyatta，但可能会发生一些不必要的arp事件(通常发生在故障转移事件上)，从而引发问题。这是在故障转移期间强制arp缓存更新的一种非常常见的机制，但可能会导致类似的问题，这取决于广播的侵略性和接收方的敏感程度。

这两种方法都值得一查。

Answer 3

感谢所有回答我的人！

在进一步研究之后，看起来arp缓存限制被设置为一个非常低的值，并且它并不能容纳我们网络中的所有主机。

在将它设置为更大的值之后，它解决了这个问题。