從技術實現(xiàn)上來看,很容易將泛洪和流量廣播混淆。其實,兩者有著本質區(qū)別。廣播報文的目的地址是全網(wǎng)用戶,使用廣播地址,在所有端口發(fā)送數(shù)據(jù)包,行為是主動的,可以理解為三層的行為,在很多協(xié)議的交互過程中都要用到廣播。比如:ARP學習,當不知道目的IP地址對應的MAC地址時,就通過廣播ARP報文來獲取;DHCP協(xié)議獲取地址,每次向DHCP服務器獲取地址時,都要通過廣播方式發(fā)出,等待DHCP服務器的回應,還有OSFP/BGP/ISIS的Hello報文,LLDP/STP/VRRP等協(xié)議的狀態(tài)監(jiān)測報文,雖然目的地址不是廣播的,而是組播地址,其實也是采用廣播的方式發(fā)送的。泛洪的目的地址不是廣播地址,針對具體的單播地址,只是在網(wǎng)絡設備上沒有查找到轉發(fā)表項,所以才有泛洪行為,這也是和以太網(wǎng)盡力去轉發(fā)的宗旨相符的。廣播本質就是要全網(wǎng)轉發(fā)的,而泛洪是一種轉發(fā)查找的結果,是一個被動產(chǎn)生的結果,我們當然希望網(wǎng)絡中泛洪的流量越少越好。廣播報文如果處理不好,容易占用過多網(wǎng)絡帶寬,甚至引起廣播風暴,對網(wǎng)絡業(yè)務造成嚴重影響,而泛洪報文如果處理不好,也會占用過多網(wǎng)絡帶寬,對網(wǎng)絡業(yè)務造成影響,有時網(wǎng)絡帶寬雖沒有被占滿,過多的無用流量沖向了服務器,也會對服務器的轉發(fā)性能造成影響,導致業(yè)務處理特別慢,直至業(yè)務中斷。廣播和泛洪,兩者對網(wǎng)絡的影響比較類同。
數(shù)據(jù)中心的網(wǎng)絡是允許泛洪流量存在的,確切地說應該是做不到完全避免,尤其在轉發(fā)表項建立之前,流量就是依靠泛洪來學習的,當學習到完整的轉發(fā)表項之后,泛洪流量自然消失。在最新的網(wǎng)絡技術中,比如VXLAN技術中,也是利用了泛洪模式進行地址學習,目的是為了學習VTEP和MAC的對應關系。當然,在EVPN環(huán)境中,節(jié)省掉泛洪的學習過程。數(shù)據(jù)中心的網(wǎng)絡要具有一定的網(wǎng)絡帶寬冗余,避免流量出現(xiàn)短時的泛洪,將帶寬打滿,影響到正常流量的交互。數(shù)據(jù)中心的網(wǎng)絡流量長時間的泛洪有兩個來源:一是網(wǎng)絡結構特殊或者網(wǎng)絡設備出現(xiàn)問題,轉發(fā)表項在網(wǎng)絡設備上長時間學習不到,產(chǎn)生大量的流量泛洪;二是出現(xiàn)泛洪攻擊,很多網(wǎng)絡攻擊方法也是利用泛洪的特征來實現(xiàn)的。比如:SYN泛洪攻擊,是利用偽造的IP地址向被攻擊端設備發(fā)出請求,而被攻擊端設備發(fā)出的響應報文將永遠發(fā)送不到目的地,被攻擊端在等待關閉這個連接的過程中消耗了資源,如果有成千上萬的這種連接,主機資源將被耗盡,從而達到攻擊的目的;UDP泛洪攻擊是攻擊者發(fā)送大量的UDP包給服務器,服務器發(fā)送大量回復;ARP報文泛洪類似于UDP泛洪,同樣是惡意用戶發(fā)出大量的ARP報文,造成三層網(wǎng)絡設備的ARP表項溢出,影響正常用戶的轉發(fā)。長時間的流量泛洪對網(wǎng)絡的傷害是巨大的,消耗掉大量的網(wǎng)絡帶寬資源,讓正常的網(wǎng)絡業(yè)務無法轉發(fā),甚至導致整個數(shù)據(jù)中心的網(wǎng)絡陷入癱瘓。
泛洪的現(xiàn)象產(chǎn)生的原因和攻擊類型五花八門,每種情況的泛洪從技術上來講都是有差別的,所以需要區(qū)別對待。正因為這樣,對于不同的攻擊類型,也是有相應的預防措施的。為了抵御泛洪攻擊的入侵,數(shù)據(jù)中心網(wǎng)絡可以針對不同類型的泛洪制定相應預防措施。比較有效的方式就是提升網(wǎng)絡設備的防攻擊性能,同時增加網(wǎng)絡過濾,根據(jù)RFC 2827里關于過濾應用的描述,部署針對輸入源的過濾,ISP拒絕將一個源IP地址不屬于其來源子網(wǎng)的數(shù)據(jù)包進行更遠路由。還可以增加專用防火墻,對各種網(wǎng)絡協(xié)議攻擊進行過濾,保護后面的網(wǎng)絡設備免受干擾。還有,將廣播域縮小,比如采用全三層轉發(fā)互連的方式,避免產(chǎn)生廣播域,這樣即便有泛洪產(chǎn)生,由于廣播域很小,對網(wǎng)絡帶寬的占用也不會很嚴重。具體在抑制泛洪方面,已經(jīng)有不少的技術實現(xiàn)可參考,在此不再逐一詳述。
我們要理性看待泛洪這個現(xiàn)象,雖然泛洪的現(xiàn)象給數(shù)據(jù)中心造成的危害是巨大的,但也不要對泛洪談虎色變,只有產(chǎn)生持續(xù)性的流量泛洪才能對網(wǎng)絡業(yè)務帶來實質性影響。當一個數(shù)據(jù)中心的網(wǎng)絡在沒有增加新業(yè)務的情況下,帶寬利用率卻持續(xù)下降時,就要注意是否有長時間的流量泛洪發(fā)生。當一個數(shù)據(jù)中心同一個廣播域中的服務器訪問速度都開始變慢時,也要查看是否有泛洪發(fā)生,判斷是否發(fā)生了泛洪方法也很簡單,只要將筆記本通過網(wǎng)線接入到網(wǎng)絡設備的任意端口上,進行抓包,如果轉發(fā)到了大量的持續(xù)性的,并非轉發(fā)到筆記本連接端口的報文,就證明了流量泛洪的發(fā)生,這時就要根據(jù)泛洪的產(chǎn)生原因,采取相應的解決措施,盡快消除流量泛洪,減輕網(wǎng)絡帶寬的占用。
版權聲明:本文為企業(yè)網(wǎng)D1Net原創(chuàng),轉載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權利。
京公網(wǎng)安備 11010502049343號