网络充斥着看似空的数据包

Question

让我先说明一下，我只是公司的一名 Web 开发人员，对网络知识知之甚少。

今天早些时候，有一个部门失去了所有的网络连接，所以我打开 Wireshark 并观察到数据包涌入我的机器。

正常流量（ARP 请求等）以每秒 50 个数据包的速度进入。然后突然之间，日志中充满了每秒大约 5000 个到达的数据包。看起来好像它们都包含相同的数据，只是一个循环序列。

我们这里有人在看它，但我想我会问是否有人以前见过这样的东西。

这是从 Wireshark 中的一个捕获中选择的一个（单击图像打开 Cloudshark 捕获）：

Answer 1

首先，即使仅使用快速以太网，帧数和数据量都不会对网络连接产生如此显着的影响 - 5,000 帧 500 字节的数据量略低于 2.5 MB/秒。但是，它们可能会在您的交换机上触发广播风暴检测机制，导致合法流量的广播帧丢失 - 特别是 ARP 请求 - 这可能会对 IP 连接产生不利影响（尽管通常不会完全中断它，您可能会看到由于不及时的 ARP 导致的数据包丢失）解析度）。

您提交的捕获中的 LLC 帧看起来很奇怪。源地址和多播目标地址看起来都不是有效的真实地址。此外，LLC 帧格式违反了标准 - NULL 地址与 UI 帧类型结合使用 - 这永远不会发生：

空地址仅在 XID 和 TEST PDU 的地址字段中使用有效。ISO/IEC 8802-2 中规定了空地址（DSAP 和 SSAP）的使用。

（来源：IEEE LLC 教程）

我怀疑某些设备（可能不是Xerox，尽管源地址解析为 Xerox 的 MAC 地址空间 - 我希望他们知道并遵守基本规则）违反了协议。尝试通过查看托管交换机的 FDB/地址表来寻找它：从任意托管交换机开始，00:00:03:20:00:00在表中找到可能与另一个交换机的上游端口相关联的地址，按照下一个交换机重复该过程除非您找到与边缘端口（即具有单个连接主机的端口）关联的地址。