问题背景
今天就聊聊家庭网络下无线网络问题。家庭无线组网无非就两种方式:
(1)单台无线路由器或者多台易展路由器无线覆盖上网;
(2)部署AC加上面板AP无线覆盖上网。
是否经常遇到无线网络一开始正常,突然用着用着就不好使了?而电脑接路由器网口、交换机、AP面板口有线都好使,无线就是不行,啥情况?
今天就给大家分析分析!
排查思路
首先:基本的配置、网络参数、上网控制、DHCP等等基本的配置和上网功能排障这里就不多说了,能用这么久了说明这些参数配置都没问题,电子设备也不是那么容易故障的;
第二:排除环路风暴问题,有线能正常用,说明网络并不存在环路;
第三:合理怀疑非法设备接入攻击内部网络或者有终端中毒,普及个概念:整个无线网络受到影响,基本上是攻击者或者中毒设备造成整网数据泛洪所致。但有线为什么没有影响?我们先讲如何排查,原理最后说。
排查指导
以单台家用无线路由器覆盖案例排查方法:
方法1:物理查找
攻击者或病毒只有接入内部网络才有可能发起网络攻击,无非就是有线/无线两种方式,那么就从有线/无线断开终端的方式去排查:
(1)拔掉路由器或者交换机上所有LAN口网线,再用手机去连接无线上网确认是否正常,如是则顺藤摸瓜依次接入网线,看最终是设备设备造成影响;
(2)如不是有线设备,那么就是无线终端接入导致。此种情况下登录无线路由web,依次将无线设备拉入黑名单,看看到底是哪台设备导致。
上述手段基本可以找到问题设备,即便是网络中存在2个及以上的攻击者或者中毒设备,把它们同时找出来处理就行。
方法2:网络抓包
找台有线电脑接入路由器网口(无线接入也行,但因无线存在广播/组播限速抓包速率可能不准确),打开wireshark选中对应网口有线抓包:
【实际场景1】
抓到的泛洪报文是
可以看到这台设备发了大量的IPv4和IPv6组播MDNS包,pps为每秒6666包/秒,速率约为12Mbps。这个实际案例中,从这个源mac可以看到确定是一台电脑,最终结果是电脑应用程序中病毒,查杀病毒和卸载对应应用后整网恢复正常。
【实际场景2】
(1)这个场景案例的源mac为11-22-33-44-55-66,一看就是伪造mac的攻击行为以1000包/秒的包速持续向网络中发二层组播报文。
(2)这种伪造mac肯定不是实际存在设备mac地址,所以接下来还是要按照上述【物理查找】的方式找到有线/无线终端。这个案例最后发现是一台异常的IPC,出了故障后就会向网络中泛洪这种未知数据,重启就能恢复。
原理分析
前面说到了数据按照包速率12Mbps或1000包/秒泛洪不会影响有线而只能影响无线,原因是:
- 有线网络都是按照线速硬件转发,100M/1000Mbps的有线网络下对于该泛洪速率的影响是非常小的远达不到瓶颈,此类异常和超高速率、mac地址表漂移的环路风暴并不是一类问题;
- 而无线路由器在将以太网帧转发到无线环境中,有线过来的广播/组播以太网帧都会打上802.11帧头然后才发往无线,若有线数据吞吐量越大,路由无线封装802.11头部载荷量也就越大,会极大消耗设备无线资源性能,从而导致无线使用出现异常。
总结:攻击者接入网络、设备中毒或故障都可能因为数据泛洪影响无线使用。可通过移除设备或网络抓包定性,恢复网络使用。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
