當主機系統(tǒng)響應一個在網(wǎng)上不斷循環(huán)的報文分組或者試圖響應一個沒有應答的系統(tǒng)時就會發(fā)生廣播風暴。一般為了改變這種狀態(tài)，請求或者響應分組源源不斷地產(chǎn)生出來，常使情況變得更糕。隨著網(wǎng)絡上分組數(shù)目的增加，擁塞會隨之出現(xiàn)，從而降低網(wǎng)絡的性能以至于使之陷入癱瘓。

網(wǎng)絡風暴產(chǎn)生的原因：

1.網(wǎng)絡不正確的設計和規(guī)劃。

2.網(wǎng)絡設備或者設備的損壞;

3.HUB做為廣播設備本身容易導致;

4.網(wǎng)卡或者交換設備的損壞也可能產(chǎn)生廣播風暴。

5.網(wǎng)絡環(huán)路;

6.路由配置錯誤，或者在沒有啟用STP的交換設備上出現(xiàn)“兩端”同時接入錯誤。

其它：網(wǎng)絡病毒本身具有感染后向網(wǎng)內大量擴散傳播的特性，也可導致廣播風暴。

廣播風暴的檢測

Step1建立廣播數(shù)據(jù)包過濾器

點開“過濾器-從過濾器列表”，選擇“Broadcast”。如圖1。

　　(圖1科來網(wǎng)絡分析系統(tǒng)過濾器設置)

Step2檢測廣播風暴的相關參數(shù)

用科來網(wǎng)絡通訊分析系統(tǒng)進行捕包(由于已經(jīng)建立好廣播包過濾器，這里所捕獲的數(shù)據(jù)全是廣播數(shù)據(jù)包)，然后統(tǒng)計相應的參數(shù)。如圖2。

　　(圖2廣播數(shù)據(jù)統(tǒng)計視圖)

統(tǒng)計參數(shù)：

廣播數(shù)據(jù)包字節(jié)數(shù)

廣播數(shù)據(jù)總數(shù)

每秒包個數(shù)

數(shù)據(jù)包大小分布

協(xié)議類型

……(根據(jù)自身的網(wǎng)絡添加)

怎樣利用這些參數(shù)：

我們這里以100M以太網(wǎng)為例，100M網(wǎng)絡每秒的***數(shù)據(jù)為12.5M*1024=12800Byte/S。如果網(wǎng)絡中廣播數(shù)據(jù)包的每秒數(shù)接近或大于此值，網(wǎng)絡就存在“廣播風暴”了。

數(shù)據(jù)包的總數(shù)、個數(shù)以及大小的分布，根根網(wǎng)絡的大小而不盡相同，如果發(fā)現(xiàn)根網(wǎng)絡正常時的值相差較大，也要引起注意。

協(xié)議類型主要是統(tǒng)計所占流量***的協(xié)議。這里要注意區(qū)分ARP請求與ARP應答的關系，ARP請求是廣播，而ARP應答是單播;如果通過過濾器捕獲到ARP協(xié)議占用了較大的流量，那網(wǎng)絡中就存在“ARP掃描”，此時我們可以切換到“診斷”視圖進行定位。

數(shù)據(jù)包的IPID標識

我們知道，IPID唯一的標識了數(shù)據(jù)報或數(shù)據(jù)報的流;如果網(wǎng)絡某一協(xié)議所占的流量大，我們可以通過“數(shù)據(jù)包”視圖來查看它的IPID，如果相同，那我們可以判斷影響當前網(wǎng)絡運行是由網(wǎng)絡環(huán)路造成的。如圖3。

　　(圖3數(shù)據(jù)包的IPID)

在當前，網(wǎng)絡環(huán)路是造成廣播風暴的主要原因之一。

查看網(wǎng)絡利用率(如圖4、圖5)

　　(圖4網(wǎng)絡利用率)

　　(圖5網(wǎng)絡利用率)

怎樣利用網(wǎng)絡利用率參數(shù)

利用率分為位利用率和利用率百分比，我們來看一下網(wǎng)絡利用率的計算過程：網(wǎng)絡中的實時流量即每秒位數(shù)(在“概要視圖”中查看)除以網(wǎng)絡帶寬(100M以太網(wǎng)或1000M以太網(wǎng))。通常在以太網(wǎng)中，利用率達到50%就已經(jīng)是非常好的網(wǎng)絡了，所以如果廣播數(shù)據(jù)包的利用率達到30%以上，也就是說在100M以太網(wǎng)中廣播數(shù)據(jù)達到30M/S時，那網(wǎng)絡中就存在“廣播風暴”了。