前情分析

客戶打電話反映學校無線網絡出了問題，兩年内都很正常的網絡，突然出現大面積癱瘓，上不去網的狀況，重啟交換機後正常，但第二天又無法加入網絡。學校人數衆多，同時使用人數在千人左右，投訴不斷。救場如救火，火速出發。

學校網絡拓撲結構

拓撲圖

初步分析

像這種現象初步原因分析為：

1. 局域網有大量的廣播風報，造成網絡堵賽。
2. 局域網電腦有中毒的可能，中毒後發送大量病毒包
3. 局域網有用戶使用網管ARP欺騙軟件，僞造網關發送大量數據包
4. 交換機硬件問題
5. 局域網人為原因造成的網絡回環

單從交換機指示燈看：一般分3種情況

1. 沖擊波 這類病毒 交換指示燈表現為狂閃或長亮
2. ARP 這類病毒 在交換指示燈表現為 單個端口帶動整個交換機上的端口不規則跳動
3. 廣播風暴 在交換機指示燈表現為 交換機所有端口閃爍 節奏一樣

故障展示

趕到現場，發現交換機端口信号燈狀态處于全亮微閃爍狀态，通過核心交換機端口分析發現，網絡端口中存在大量的PAUSE流控幀。

PAUSE幀介紹

PAUSE幀是以太網在全雙工模式下，MAC控制子層發出的流量控制幀。IEEE802.3協議為MAC控制子層提供了一個全雙工流量控制結構框架，MAC控制子層是介于邏輯鍊路控制子層和介質訪問控制子層間的可選功能。

交換控制電路要防止緩沖區溢出，可以利用MAC控制子層來控制以太網介質訪問控制子層的操作。當已用緩沖區容量達到一個預先設定的阈值時，端口向全雙工鍊路對方發出停止發送數據的請求，這個請求通過MAC控制子層産生的控制幀實現。

同樣，端口可以接收由其他站點MAC控制子層産生的控制幀，控制幀夾在客戶數據幀流中發送，接收方會根據幀的内容将控制幀分離出來，提交到MAC控制子層中的流量控制模塊，流量控制模塊解析控制幀的内容，提取幀中的控制參數，根據控制參數決定暫停發送的時間。

PAUSE幀中攜帶了時間參數。收到PAUSE幀的設備通過簡單的解析，就可以确定停止發送的時長。對端設備出現擁塞的通常情況下，本端端口通常會連續收到多個PAUSE幀。隻要對端設備的擁塞狀态沒有解除，相關的端口就會一直發送PAUSE.

故障分析

仔細研究交換機緩沖區溢出的原因，發現是一種非常普遍、非常危險的漏洞，在各種應用軟件中廣泛存在。利用攻擊可以導緻程序運行失敗、系統宕機、重新啟動等後果。更為嚴重的是，可以利用它執行非授權指令，甚至可以取得系統特權，進而進行各種非法操作。

程序一般都會使用到一些内存，這些内存或是程序内部使用，或是存放用戶的輸入數據，這樣的内存一般稱作緩沖區。溢出是指盛放的東西超出容器容量而溢出來了，在程序中，就是數據使用到了被分配内存空間之外的内存空間。而緩沖區溢出，簡單的說就是交換機對接收的輸入數據沒有進行有效的檢測（理想的情況是程序檢查數據長度并不允許輸入超過緩沖區長度的字符），向緩沖區内填充數據時超過了緩沖區本身的容量，而導緻數據溢出到被分配空間之外的内存空間，使得溢出的數據覆蓋了其他内存空間的數據。

也就是說當核心交換機緩沖區将要溢出，就會向下邊的接入交換機發出PAUSE幀，讓接入交換機暫緩發送數據包，造成接入交換機數據堵塞，客戶無法上網。

上述故障現象從表面上來看，是由于局域網中的核心交換機設備工作狀态不正常引起的，重啟隻能暫緩故障，事實上故障交換機的工作狀态受到了遠程網絡病毒的影響；這種現象導緻故障交換機的緩存出現了溢出錯誤，最終使得該交換機發生了癱瘓現象，這也是故障交換機端口信号燈狀态都處于全亮微閃爍狀态的原因。

之前别人在處理這種故障時，都判定交換機損壞，更換交換機。

解決方案

遠程緩存區溢出攻擊解決辦法：核心交換機恢複出廠設置，劃分VLAN，更改遠程登錄用戶名密碼，有條件的加裝硬件防火牆。

劃分VLAN

故障交換機經過恢複出廠，重新設置之後，已經恢複正常。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!