路由环路,ARP,DDOS的预判方法

重大网络问题的判断思路：

1．路由环路

产生这种问题往往是在技术或者客户做了某项维护操作之后，网络会突然瞬间全部断网，外面ping这个网段的IP时，只能正常ping通网关，其它IP全部不通，这时技术要马上想到是路由环路。

解决办法：

马上反思刚才技术和客户维护时做过哪些操作，对于刚才操作过的机柜要马上断网，然后再查看是哪根网线接错了。一般情况下，一台交换机不允许接两根进口网线，一台机器也不允许接同一个网段的两台不同的交换机。路由环路的原理请参照下面的资料。

2．ARP

这种问题的症状是外面ping网关很正常，不掉包,但这个网段的很多机器掉包，卡，最典型的现象是部分IP通一段时间又不通了，过一会再通一小段时间然后再不通，如此反复，发生这种故障就是典型的ARP攻击，ARP的另一个特征是外面ping不通机器IP或者掉包，但同一个网段IP之间互ping很正常。还有个特点是这个网段的网站客户反映他们的网站都被挂马，但服务器上的网页查看源代码却看不到恶意代码。

解决办法：

一旦发生某网段掉包严重现象或者有客户反映网站被挂马，马上进内网ARP监控机查看ARP 报警情况，如ARP防火墙无报警，马上上报给电信故障中心，让电信帮忙查看，同时自己仍然要继续关注ARP防火墙的提示，如内网无ARP监控机，可用笔记本电脑配个此段IP进入机房开启ARP防火墙查看。在内网可以通过arp -a查看网关MAC，桃浦机房的网关的MAC 地址如下：

二楼网关（包括119段224段115段）: 00-0f-e2-d2-74-4f

三楼网关（203.156.192段）： 00-0f-e2-d2-72-1f

203.156.193段： 00-0f-e2-d2-78-ff

被ARP影响到的机器，网关的MAC地址会变化成为其它的MAC，没有受到影响的机器或者开启了ARP防火墙的机器的网关MAC地址不会变化。如果用ARP防火墙仍然查不出哪台机器，一定要上报给电信故障中心，让电信帮忙检查，如果是ARP攻击，电信一定能查出可疑的MAC地址，这时可以用内网的ARP防火墙+superscan软件扫描来扫出内网所有机器的MAC 地址，然后找出对应的可疑的MAC地址，对于发动ARP的机器一定要马上断网，再通知客户。将发动ARP的机器断网后，部分IP会正常，部分受影响较大的机器会断网，这时需要将不通的机器的网线插拔一下，如果还不通，多试几次，再不行就将机器重启或者通过内网的机器再远程连上去，先ping网关，再ping外面的公网IP如202.96.209.5通了就可以恢复正常了。

3．网络攻击（DDOS流量攻击）

症状是某个机柜掉包，很卡，或者整个网段都是这样，连网关也掉包，影响范围和攻击的流量大小有直接关系，一般几百M的攻击流量会影响到一个机柜的机器，如果是上G的流量，则会影响到整个网段甚至整个机房的网络。

解决办法：

查看网段所在的机柜的流量图，看看流量是否异常，如发现有机柜流量异常，找出是哪个机端口流量跑高然后断网，如果是流量溢出，则会发现交换机每个端口流量会很高，这种情况下查出被攻击的机器会很难，一定要及时上报给电信故障中心，同时要在内网用sniffer 来查看是否有很多流量指向某一个IP。对于DDOS攻击，如果查出了被攻击的机器并断网后，

网络仍然不正常，则一定要让电信查找原因并封掉有问题的IP。被攻击的机器被处理后，通知客户并说明情况。如果客户IP被封了，则提醒冯虎庭在第二个工作日启动解封程序，但解封完成需要几个工作日。

以上的说明较为复杂，为了方便各技术更好的掌握，我将这三个问题的特点总结了一下，判断重大问题的清晰思路如下：

网关情况

路由环路时，外网ping网关正常

ARP时，外网ping网关正常

DDOS攻击时，外网ping网关的情况根据攻击流量而定，对于只影响一个机柜的小流量攻击，ping网关正常，如果流量过大时，网关也开始掉所，如果网关掉包，则被DDOS攻击的可能性很大。

流量情况

路由环路和ARP都不会引起流量异常，DDOS会显示流量急剧上升。

网段情况

路由环路时，除网关外，其它IP瞬间全部不通，内网也不能互通。

ARP时，外面ping网关正常，ping具体IP时会掉包严重，或者一会通一会不通，也有可能外面根本就ping不通，内网的机器之间互通很正常不掉包。

DDOS攻击时，流量大时，外面ping网关也掉包，具体的IP掉包更为严重。内网的不同机柜之间的机器互相ping也一样掉包严重。

扩散速度

路由环路时，网段无任何征兆突然全部断网，网关除外。

ARP时，先是一小部分IP不正常，掉包，慢慢的越来越多的IP不正常。内网很多服务器上的网站都会被挂马。

DDOS攻击时，网段会有征兆，先是某个机柜掉包，流量大，流量越来越大，会扩散到整个网络。

处理故障源后的恢复速度

路由环路时，找出有问题的设备或者网线并断网后，网络马上恢复正常。

ARP时，将发动ARP的机器断网后，部分IP会正常，部分受影响较大的机器会断网，这时需要将不通的机器的网线插拔一下，如果还不通，多试几次，再不行就将机器重启或者通过内网的机器再远程连上去，先ping网关，再ping外面的公网IP如202.96.209.5通了就可以恢复正常了。

DDOS时，将被攻击的机器断网，断网后需要观察几分钟看流量是否会降下来，网络是否还掉包，不行的话马上让电信封IP。

网络上出现环路的错误接法图

两台交换机，在没有做过，port-channel的情况下，是决对不能双线对接的，因为这样，ARP广播，会在这两台交换机之中的所有的口循环泛洪。这样会造成广播风暴，导致断网，如下图

以下接法，也有可能导致交换机形成环路，如果这三台交换机都是二层的，并且，没有时行任何VLAN划分的话，就会形成环路了，这种情况下，只有在，以下任一台交换机上，划分出VLAN，并起用STP清除环路，才可使用这种拓扑。请大家在实际使用中加以注意