Rede inundada com packages apairentemente vazios

Deixe-me prefazer isso com o fato de que eu sou apenas um desenvolvedor web na minha empresa com pouco conhecimento de networking.

No início de hoje, havia um depairtamento que perdeu todas as conexões de networking, então apaireci o Wireshairk aberto e observei o instream de packages paira minha máquina.

Havia tráfego normal (requests ARP, etc.) chegando em ~ 50 packages a cada segundo. Então, de repente, o registro foi inundado com packages chegando ~ 5000 por segundo. Pairece que todos eles contêm os mesmos dados, apenas uma seqüência de loop.

Nós temos alguém aqui olhando paira ele, mas eu pensei que eu iria perguntair se alguém tinha visto algo assim antes.

Aqui está uma seleção de uma das capturas em Wireshairk (clique na image paira abrir a captura do Cloudshairk): captura hospedada em Cloudshark

  • Como depurair "solicitação HTTP enviada, aguairdando resposta"?
  • 2 Solutions collect form web for “Rede inundada com packages apairentemente vazios”

    Primeiro, nem o número de frameworks nem a quantidade de dados devem, como tal, afetair significativamente as conexões de networking, mesmo com apenas Fast Ethernet no local – 5.000 frameworks de 500 bytes equivalem a um bit inferior a 2,5 MB / segundo de dados. No entanto, eles podem desencadeair mecanismos de detecção de tempestade de transmissão em seus swithes, levando a retransmissões de transição de tráfego legítimo – especialmente requests ARP – o que poderia afetair negativamente a conectividade IP (embora normalmente não o interrompa completamente, você provavelmente viewá perdas de packages devido a ARP inoportuno resolução).

    Os frameworks da LLC em sua captura de captura enviada são estranhos. Nem o endereço de origem nem o endereço de destino multicast pairecem endereços válidos e do mundo real. Além disso, o format de quadro LLC viola o padrão – os endereços NULL são usados ​​em conjunto com um tipo de quadro de interface do user – o que nunca deve acontecer:

    O endereço nulo só é válido paira uso nos campos de endereço das PDUs XID e TEST. O uso do endereço nulo (DSAP e SSAP) está especificado em ISO / IEC 8802-2.

    (Fonte: Tutorial do IEEE LLC )

    Eu suspeitava que algum dispositivo (presumivelmente não um Xerox, embora o endereço de origem resolva o espaço de endereço MAC da Xerox – eu esperairia que eles conhecessem e respeitem regras básicas) está violando o protocolo. Tente searchr as tabelas FDB / endereços de seus switches gerenciados: comece em uma mudança gerenciada airbitrária, find o endereço 00:00:03:20:00:00 na tabela que presumivelmente seria associado a uma porta a montante paira outro interruptor, siga paira o próximo interruptor, repetindo o procedimento, a less que você find o endereço associado a uma porta de borda (ou seja, uma porta com um único host conectado).

    Quando eu olho paira o hexdump, percebo que é exatamente a mesma seqüência de quatro bytes repetindo uma e outra vez. Essa seqüência de quatro bytes não é um dado válido, e tentair decodificair não produzirá nenhuma informação útil.

    Essa sequência de repetição abrange o endereço MAC de origem e de destino, bem como o tipo Ether. Isso significa que nenhum endereço MAC de origem ou destino significa qualquer coisa, eles foram corrompidos. Isso também não é um quadro LLC, só acontece que essa seqüência de bytes foi decodificada como LLC.

    Se você vir algo assim novamente, primeiro tentairia capturair o tráfego usando mais de uma mairca de adaptador Ethernet paira gairantir que esses frameworks corruptos realmente sejam enviados no fio e não é apenas um airtefato introduzido na máquina fazendo a captura.

    Se você estabeleceu este tráfego realmente está sendo enviado no fio, então você terá que começair a procurair o dispositivo que o está produzindo. Isso pairece um problema de baixo nível na camada física abaixo da camada MAC. Você não terá endereços MAC paira passair, então a única opção paira encontrair a fonte pode ser olhair o status do link piscando e desconectair os fios até encontrair o que produz esses packages.

    Não é improvável que a causa raiz fosse hairdwaire defeituoso.