Broadcast Flooding

[pastors 10]

Hallo,

ich habe ein Problem in meinem geswitchten Netzwerk. Neuerdings habe ich sehr viel Broadcast Traffic auf den Ciscos (ca. 16 Mio. Pakete) die das mit Zeitüberschreitungen quittieren und die WAN Leitung zu müllen. Zuerst dachte ich an einen Wurm/Trojaner/etc. der sich weiter verbreiten will. Aber der Rechner der die Broadcasts gesendet hatte, war clean. Seit heute senden immer mehr Rechner die Broadcasts und nun selbst auch die Server. Der Switchport sieht ok aus. Hat jemand vielleicht Tipps was das sein könnte?

 

Grüßle

 

Mike

[lefg 276]

Hallo Mike,

 

ich hatte Ähnliches vor ein paar Tagen, mit anderen, einfachen Switches. Sie übertrugen einfach nicht mehr.

 

Den ersten tauschte ich gegen einen älteren 3Com, seitdem ist in dem Bereich Ruhe; der Switch funktioniert wieder, eingesetzt in einem anderen Segment, Ersatz für einen Hub.

 

Beim zweiten klemmte die Teilnehmer nacheinander ab und fand den Hund, es war ein ausgeschalteter Rechner. Nach dem Einschalten war das Problem behoben, bisher keine weitere Störung.

 

Gruß

 

Edgar

[Squire 261]

@Mike:

 

ich würd mal mit Wireshark oder Network Chemestry Paketizer schauen nach was die Rechner denn schreien. Nachdem es Broadcasts sind brauchst du auch am Switch keinen Monitoring Port definieren

[pastors 10]

Hallo,

danke für die Antworten. Da fällt mir ein, ein Kollege hat vor 2 Wochen einen neuen Switch integriert. Vielleicht ist dieser ja der Überltäter.

 

Grüßle

 

Mike

[lefg 276]

Bei mir waren die beiden Switches lange drin. An dem einem verursachte ein relativ neuer, ausgeschalteter Rechner das Problem; eingeschaltete und gut wars.

[mturba 10]

An dem einem verursachte ein relativ neuer, ausgeschalteter Rechner das Problem; eingeschaltete und gut wars.

Ein ausgeschalteter Rechner, der solche Probleme verursacht? Kannst du das Szenario mal genauer beschreiben? Was hatte dieser Rechner für eine Aufgabe, dass er eine solche Störung verursachen konnte?

 

Generell denke ich auch, dass Squire's Vorschlag, mal einen Wireshark-Trace zu machen, eine gute Idee ist, um genauere Informationen darüber zu bekommen, was (oder wer) diese Broadcasts verursacht.

[nerd 28]

Hi,

 

ja ich würde auch mal damit beginnen die gesendeten Pakete zu analysieren - alles andere ist Glaskugelraten. Meine hat gerade die Frage aufgeworfen (allerdings sehr unwahrscheinlich :D) ob der neue Switch vielleicht ein Router ist und dieser gerade dabei ist das netz zu discovern oder via RIP oder so sich Routen zieht...

 

Gruß

[lefg 276]

Ein ausgeschalteter Rechner, der solche Probleme verursacht? Kannst du das Szenario mal genauer beschreiben? Was hatte dieser Rechner für eine Aufgabe, dass er eine solche Störung verursachen konnte?......

Ein ganz normaler Acer, eine Workstation, ich wollte es ja selbst nicht glauben, musste es aber so akzeptieren.

 

Ixh habe am Switch im Schrank alle Kabel entfernt nach der Störung, dann das "Backbone" und ein NB angeschlossen, es funktionierte. Dann habe ich die anderen Leitungen wieder aufgelegt nacheinander, dann kam die eine Leitung mit dem Client und das Netz war dicht. Ich habe das mit einem Kollegen als Assistent und Zeugen dann mehrmals getestet, letztendlich den Rechner eingeschaltet und alles war gut. Inzwischen wird der Rechner zu Betriebsschluss wieder ausgeschaltet und es ist keine Störung mehr aufgetreten. Von dem Rechnertyp gibt es an dem Switch nur den einen.

 

Ich hatte den gleich aussehenden Fall ja schon eine Woche früher im selben Netz, ein anderer Switch, ein anderes Gebäude. Nur bin ich da nicht auf die Idee gekommen mit dem Abklemmen und Auflegen, ich nahm an, der Switch sei defekt , es funktionierte auch nicht vom NB über den Switch zum Backbone, ich habe die Kist also schnell ausgetauscht, die Damen und Herren saßen mir etwas im Nacken, schauten ständig rein. Ich habe im dem Bereich leider auch nicht die Sicht über die Rechner, der dort derzeit zuständige Kollege hat einiges erneuert. Ich habe mich inzwischen natürlich gefragt, ob es vom Interface eines Rechnertyps kommt.

[Wordo 11]

Hallo,

ich habe ein Problem in meinem geswitchten Netzwerk. Neuerdings habe ich sehr viel Broadcast Traffic auf den Ciscos (ca. 16 Mio. Pakete) die das mit Zeitüberschreitungen quittieren und die WAN Leitung zu müllen. Zuerst dachte ich an einen Wurm/Trojaner/etc. der sich weiter verbreiten will. Aber der Rechner der die Broadcasts gesendet hatte, war clean. Seit heute senden immer mehr Rechner die Broadcasts und nun selbst auch die Server. Der Switchport sieht ok aus. Hat jemand vielleicht Tipps was das sein könnte?

 

Grüßle

 

Mike

 

Sind die Switche untereinander verbunden? Wenn ja, wie oft?

[pastors 10]

Hallo,

der Switch ist über den Uplink genau einmal mit dem anderen verbunden. Am Freitag bin ich vorort und schaue mir das genauer an.

 

Grüßle

 

Mike

[lefg 276]

Gestern stieg ein Superstack II /3300 aus, vermutlich nach einem Broadcaststorm, ein Kollege teilte mir das mit, stellte es mir auf den Tisch; ich werde ihm mir anschauen. Ich habe das an dem Gerät schonmal gehabt, saß dabei im Serverraum, schaute zufällig hin; Alle LEDs blinkten.

 

Auch diesmal hat sich das Gerät nach 10 Minuten anscheinend vom Sturm erholt.

[pastors 10]

Hallo,

ich hab mal auf dem Cisco nachgesehn...

 

Hier die Ausgabe:

FastEthernet0/24 is up, line protocol is up (connected)
 Hardware is Fast Ethernet, address is 000d.28d5.0998 (bia 000d.28d5.0998)
 Description: UPLINK zu 10.24.240.12
 MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
    reliability 255/255, txload 1/255, rxload 17/255
 Encapsulation ARPA, loopback not set
 Keepalive set (10 sec)
 Full-duplex, 100Mb/s
 input flow-control is off, output flow-control is off
 ARP type: ARPA, ARP Timeout 04:00:00
 Last input never, output 00:00:01, output hang never
 Last clearing of "show interface" counters never
 Input queue: 0/75/0/0 (size/max/drops/flushes); Total output drops: 0
 Queueing strategy: fifo
 Output queue :0/40 (size/max)
 5 minute input rate 6997000 bits/sec, 3524 packets/sec
 5 minute ouxtput rate 0 bits/sec, 0 packets/sec
    27289918 packets input, 2372970542 bytes, 0 no buffer
    Received 27263200 broadcasts, 0 runts, 0 giants, 0 throttles
    0 input errors, 0 CRC, 0 frame, 0 overrun, 0 ignored
    0 watchdog, 1 multicast, 0 pause input
    0 input packets with dribble condition detected
    308195 packets output, 75529210 bytes, 601 underruns
    0 output errors, 0 collisions, 2 interface resets
    0 babbles, 0 late collision, 0 deferred
    0 lost carrier, 0 no carrier, 0 PAUSE output
    601 output buffer failures, 0 output buffers swapped out

 

Ist das normal das ein Switch fast genausoviele Pakete wie Broadcasts empfängt?

 

Grüßle

 

Mike

[Franz2 10]

Ich glaube nicht das das ein Broadcast storm ist. Dazu sind 7MB zu wenig.

Es könnten Multicastpakete sein. Habt ihr eventuell einen Streaming Server oder ähnliches bekommen.

 

Gibt es die Broadcasts immer ?

 

Wenn ja kannst du mal nachschauen auf welchen Port dauernd die ca. 7MB kommen.

[pastors 10]

Hallo,

bei mir ist ein unmanaged Netgear Switch das Problem gewesen. Diesen hab ich durch einen Cisco ersetzt und nun ist alles gut :)

 

Grüßle

 

Mike

[lefg 276]

Ist tatsächlich der unmanaged das Problem gewesen, oder ist es mit dem neuen nur nicht mehr aufgetreten? Hast Du den Switch mal separat überprüft?