局域网故障处理中碰到广播风暴的一个实例
                                     

        今天接到一个公司用户的宽带投诉，客户称其局域网内多台电脑，只有一台能够上网，但其它台都不能无法访问网络

。虽然这个问题通过他的描述就可以肯定是用户内部局域网出了问题，与我们提供的外线无关，但用户称其公司没人懂网络，

再三要求我们去帮忙查查，当下答应去看看。

        用户局域网采用的方式是：外线-->防火墙-->交换机-->电脑的方式。外线是从我方机房直接拉的一根五类网络线；

防火墙为天网硬件防火墙；交换机为一台普通的24口交换机，未做端口隔离，未划分VLAN；用户的内部网段使用172.19.X.X的

IP地址，采用B类掩码255.255.0.0。只是他们电脑DNS却是设置为172.16.10.102，相当奇怪，因为这个不是我们提供的DNS服

务器地址，而且也不是他们网关的IP，而用户表示他们一开始请的网络公司人员就是这样帮他们设置的，不明白其实现原理是

什么。

        从简单处理问题的角度起见，在作下一步问题处理前我首先重启了一下用户的路由器及交换机，以确保问题不是因为

设备端口死机方面引起的。

        由于用户局域网中有一台电脑能正常上网，因此基本排除了外线及天网硬件防火墙方面的故障。将不能上网的那些电

脑的IP地址相关设置与能上网那台电脑与对比，设置正常。接上我带来的笔记本电脑，配上IP地址，本本也上不了网。但ping

局域网内的各台电脑，发现是通的，包括能上网的电脑和不能上网那些电脑均可ping通，这不是代表着交换机的各端口本身也

没有什么问题？

        无奈，怀疑是局域网内有电脑中病毒了，而且首先怀疑是唯一还能上网那台（只有它能上网嘛，不找他找谁），于是

在交换机那把那台电脑的连接线拔掉，笔记本再测试还是不能上网。难不成是那些不能上网的电脑全部中毒？这时我一不做二

不休，干脆把所有内网网线都拔了，交换机上只接连接到天网防火墙的那根网线，以及我带来的那台笔记本电脑，咦奇了怪了

，就这样也同样没法上网！

        百思不得其解，突然想到前些天在笔记本上安装的Sniffer Pro软件，正好可以用来诊断一下这个局域网的问题。把

所有网线重新插好，开启软件监控网内的数据包。经过分析，发现有一台主机大量发送广播包，在短短的一两分钟内发送的广

播包总量大小就达到3208000字节以上，而其它主机发送包数十分稀少。当下找到这台主机，罪魁祸首果然就是唯一能上网的

那台电脑。把这台电脑再次从网络上断开，然后重启硬件防火墙与交换机，重启完成后用笔记本电脑及其它局域网电脑上网，

发现已正常。有人若问为何还要重启设备，那是因为不重启的话就要等待设备里面的MAC地址表老化时间过后其它电脑才能开

始正常上网，这个时间可能要比较长（初步估计）。像原先把全部内网断开后我的笔记本还不能上网估计就是这个原因。

        启示：1、判断这种局域网问题用Sniffer Pro之类的分析软件是合适的，也是更快捷的；2、该问题具体是由于病毒

木马（或电脑网卡损坏）引起的广播风暴攻击，还是病毒采用了ARP欺骗的方法来影响网络，有待进一步分析，个人倾向这二

者兼而有之。