Открыть сервис

Широковещательный шторм

Широковещательный шторм (от англ. broadcast storm) — это сетевое явление, при котором в компьютерной сети происходит лавинообразное накопление широковещательных (broadcast) или многоадресных (multicast) кадров, пакетов или фреймов, приводящее к резкому снижению пропускной способности сети, задержкам передачи данных, а в критических случаях — к полной неработоспособности сегмента сети. Широковещательный шторм является разновидностью сетевого коллапса и представляет собой одну из классических проблем сетей на основе протокола Ethernet.

Причины возникновения

Широковещательный шторм возникает, когда в сети циркулирует избыточное количество широковещательных кадров, которые не могут быть обработаны или отфильтрованы сетевыми устройствами на канальном уровне. Основные причины включают:

Петли коммутации (сетевые петли)

Наиболее частая причина. В сетях Ethernet, где используются коммутаторы (свитчи), широковещательные кадры (с MAC-адресом назначения FF:FF:FF:FF:FF:FF) передаются на все порты, кроме порта-источника. Если в сети образуется замкнутый контур (петля) — например, из-за неправильного подключения кабелей или отсутствия протокола Spanning Tree Protocol (STP), — кадр начинает бесконечно циркулировать, каждый раз копируясь и умножаясь. Это приводит к экспоненциальному росту трафика.

Неисправности сетевого оборудования

Сбой в работе сетевой карты, драйвера или операционной системы может привести к генерации непрерывного потока широковещательных кадров. Например, неисправная сетевая карта может «зациклиться» на отправке ARP-запросов (Address Resolution Protocol) или DHCP-запросов.

Атаки типа «отказ в обслуживании» (DoS)

Злоумышленник может намеренно генерировать большое количество широковещательных пакетов, например, с помощью утилит для флуда (smurf-атака, fraggle-атака). В таких атаках используется подделка IP-адреса источника, чтобы заставить множество узлов сети отвечать на один широковещательный запрос, создавая лавину ответов.

Протоколы, интенсивно использующие широковещание

Некоторые протоколы, такие как ARP (при поиске MAC-адреса), DHCP (при получении IP-адреса), NetBIOS (в старых версиях Windows), генерируют широковещательные запросы. В крупных сегментах сети с большим количеством узлов (например, более 1000) даже нормальная работа этих протоколов может создавать значительную нагрузку, а при аномалиях — спровоцировать шторм.

Механизм развития

Процесс развития широковещательного шторма можно описать следующим образом:

  1. Инициация: Один из узлов сети отправляет широковещательный кадр (например, ARP-запрос).
  2. Распространение: Коммутатор, не зная, на каком порту находится получатель, передаёт кадр на все свои порты, кроме порта-источника.
  3. Умножение: Если в сети есть петля, кадр возвращается на другой порт того же коммутатора или на соседний коммутатор, который снова отправляет его на все порты. Каждый цикл увеличивает количество копий кадра.
  4. Насыщение: За короткое время (секунды или доли секунды) сеть заполняется копиями одного и того же кадра. Пропускная способность каналов связи исчерпывается.
  5. Коллапс: Все узлы сети тратят ресурсы процессора на обработку бесполезных кадров, а полезный трафик (данные, голос, видео) блокируется или теряется. Сеть становится практически неработоспособной.

Последствия

  • Полная или частичная потеря связности: Узлы не могут обмениваться данными, так как каналы перегружены.
  • Резкое падение производительности: Время отклика (ping) возрастает до десятков секунд или бесконечности.
  • Перегрузка процессоров конечных устройств: Сетевые карты и процессоры компьютеров, серверов, принтеров вынуждены обрабатывать огромное количество прерываний, что приводит к зависаниям системы.
  • Сбои в работе критических приложений: Особенно чувствительны к задержкам VoIP-телефония, видеоконференции и системы реального времени.
  • Выход из строя сетевого оборудования: Коммутаторы и маршрутизаторы могут перегреваться или перезагружаться из-за чрезмерной нагрузки на процессор.

Методы обнаружения

Обнаружить широковещательный шторм можно по следующим признакам:

  • Резкое увеличение загрузки канала: На графиках мониторинга (например, MRTG, PRTG, Zabbix) наблюдается скачок использования полосы пропускания до 100% на одном или нескольких портах.
  • Массовые жалобы пользователей: Пользователи сообщают о невозможности подключиться к сетевым ресурсам, медленной работе интернета или полном отсутствии сети.
  • Высокая активность светодиодов на коммутаторах: Светодиоды портов горят непрерывно или мигают с очень высокой частотой, указывая на интенсивный трафик.
  • Анализ трафика: С помощью снифферов (Wireshark, tcpdump) можно увидеть огромное количество одинаковых широковещательных кадров (например, ARP-запросов) от одного или нескольких MAC-адресов.

Методы предотвращения и защиты

Протокол Spanning Tree Protocol (STP)

Основной метод защиты от петель. STP (и его улучшенные версии RSTP, MSTP) автоматически блокирует избыточные порты, предотвращая образование замкнутых контуров. В современных сетях STP должен быть включён на всех управляемых коммутаторах.

Ограничение широковещательного трафика (Broadcast Storm Control)

Функция, доступная на большинстве управляемых коммутаторов. Администратор задаёт пороговое значение (в процентах от полосы пропускания порта или в количестве пакетов в секунду). При превышении порога коммутатор начинает отбрасывать избыточные широковещательные кадры. Это позволяет локализовать шторм, не давая ему распространиться на всю сеть.

Сегментация сети (VLAN)

Виртуальные локальные сети (VLAN) делят физическую сеть на изолированные логические сегменты. Широковещательные кадры не передаются между разными VLAN. Это ограничивает радиус действия шторма одним сегментом, а не всей сетью.

Использование маршрутизаторов

Маршрутизаторы (в отличие от коммутаторов) не передают широковещательные кадры между разными подсетями. Разделение сети на подсети с помощью маршрутизаторов или маршрутизирующих коммутаторов (L3-коммутаторов) является эффективным способом локализации широковещательного трафика.

Мониторинг и автоматическое отключение портов

Системы управления сетью (NMS) могут отслеживать уровень широковещательного трафика и при обнаружении аномалий автоматически отключать проблемный порт на коммутаторе.

Защита от DoS-атак

Использование файрволов и систем предотвращения вторжений (IPS) для фильтрации подозрительного трафика, а также настройка ACL (Access Control Lists) на маршрутизаторах для ограничения нежелательных типов пакетов.

Примеры в реальных сетях

  • Крупная корпоративная сеть: Из-за ошибки монтажника, соединившего два порта одного коммутатора патч-кордом, образовалась петля. STP был отключён. В течение 30 секунд вся сеть из 500 компьютеров перестала работать. После включения STP и отключения лишнего кабеля сеть восстановилась.
  • Сеть провайдера: Неисправный модем абонента начал генерировать тысячи ARP-запросов в секунду. Функция Broadcast Storm Control на порту коммутатора провайдера автоматически отбросила избыточный трафик, предотвратив сбой для других абонентов.
  • Учебная сеть: В лаборатории студенты неправильно настроили коммутаторы, создав множественные петли. Это привело к полной блокировке работы всей лаборатории, пока преподаватель не отключил питание коммутаторов.

Источники

  • Сети ЭВМ и телекоммуникации: учебник для вузов / В. Г. Олифер, Н. А. Олифер. — 4-е изд. — СПб.: Питер, 2010.
  • Компьютерные сети. Принципы, технологии, протоколы: учебник для вузов / В. Г. Олифер, Н. А. Олифер. — 5-е изд. — СПб.: Питер, 2016.
  • Таненбаум Э., Уэзеролл Д. Компьютерные сети. — 5-е изд. — СПб.: Питер, 2012.
  • IEEE 802.1D — Standard for Local and Metropolitan Area Networks: Media Access Control (MAC) Bridges.
  • RFC 2644 — Changing the Default for Directed Broadcasts in Routers.

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →