通信人家园

标题: 紧急---发生网络风暴了怎么办 [查看完整版帖子] [打印本页]

时间: 2012-8-13 08:19

作者: tiansundx2 标题: 紧急---发生网络风暴了怎么办

首先问个问题，TCP建立连接时要经过三次握手，发送SYN报文时报文中一般包含了目的主机的IP地址与MAC地址，有没有这种情况，SYN报文的目的MAC地址为全0？如果有这种情况，这种情况是如何发生的。
我们的网络发生了网络风暴，目前查不到具体原因。现象时，a向f发tcp握手报文SYN，其中目的mac为全0，然后b、c、d开始转发这个SYN报文，目的mac也为0，而且不停的转发，造成了网络风暴。a\b\c\d\f都在一个局域网中。

当主机不知道对方mac地址时，会发送tcp握手请求吗？
请各位大拿帮忙分析一下吧，万分感谢。

时间: 2012-8-13 08:33

作者: XNworks

网络广播风暴，你可以查看一下哪些端口有包计数不断增加，然后查看网络拓扑图，看是否有网络环。看是否在同一网段，（1）如果是同一网段，首先会发ARP Request广播消息请求对方的MAC地址，得到回应后，才开始发TCP的SYN。（2）如果不是同一网段，看是否有网关的ARP信息，如果没有就发送ARP请求来获取网管的MAC，然后主机再来发送TCP SYN。

时间: 2012-8-13 08:36

作者: tiansundx2 标题: 回复 2# 的帖子

那么TCP SYN报文的目的MAC可以为0吗？我们抓的包中，syn的目的mac为0啊。之前有arp查询报文，但是只有查询，没有arp答复。

通信人家园 (https://www.txrjy.com/)