Điều gì có thể gây ra các gói mạng bao gồm PUU?

Chúng tôi có một hệ thống đang bị mất liên lạc trên mạng ethernet gigabit. Tải lưu lượng truy cập trên mạng chẳng hạn như gây căng thẳng nhẹ cho mạng 100Mb, nhưng có các bộ chuyển mạch gigabit, NIC và cáp xuyên suốt - hoặc tôi được khách hàng đã xây dựng mạng mà chúng tôi đang kết nối cho biết như vậy.

Chúng tôi đã cắm một máy tính xách tay chạy Wireshark qua một trung tâm 100baseT và thấy rằng nó đã báo cáo rất nhiều gói "Ethernet II" trong đó dữ liệu thô, khi được hiển thị dưới dạng ASCII, về cơ bản trông như thế này:

PUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUUU

Đương nhiên, tôi ngay lập tức đặt tên cho vấn đề này là "Mạng PUU" và nhiều tiếng cười khúc khích xảy ra sau đó.Tất cả chúng tôi đều đã ngoài bốn mươi, nhưng tôi đoán một số người trong chúng tôi không bao giờ trưởng thành (tội lỗi!)

Dù sao, nghiêm trọng hơn, các gói hoàn toàn hợp lệ khác đã bị dữ liệu này làm hỏng. Các tiêu đề IPv4 đã được thay thế byte bằng bạn byte cũng như hỏng dữ liệu sẽ khiến phần mềm từ chối dữ liệu, ngay cả khi tổng kiểm tra IP không khớp. Chúng tôi khá chắc chắn rằng dữ liệu này tràn vào mạng đang gây ra sự cố ngừng liên lạc. Những gì chúng ta không biết là nó có thể đến từ đâu.

Có ai từng thấy điều này xảy ra trước đây? Bạn đã giải quyết nó? Bạn đã tìm ra nó đến từ đâu?

====ĐÃ CHỈNH SỬA====

Đã thêm đề cập đến trung tâm vào mô tả ban đầu vì, đánh giá từ các nhận xét bên dưới, đó là nguồn có khả năng xảy ra tham nhũng nhất! Công cụ chúng tôi sử dụng để thử và tìm sự cố mạng dường như đã thêm một sự cố mạng mới và tồi tệ hơn.

Dù sao, nghiêm trọng hơn, các gói hoàn toàn hợp lệ khác đã bị dữ liệu này làm hỏng. Các tiêu đề IPv4 đã nhận được các byte được thay thế bằng các byte U cũng như việc dữ liệu bị hỏng khiến phần mềm từ chối dữ liệu, ngay cả khi tổng kiểm tra IP không khớp.

Thật đáng ngạc nhiên khi chỉ xen kẽ các bit (bạn là ASCII 0x55 hoặc 01010101b) thực sự tạo nên các khung Ethernet hợp lệ hoặc thậm chí các gói IP hợp lệ.Nếu lỗi này cũng bò vào các khung/gói phần lớn còn nguyên vẹn, thì nguyên nhân chỉ có thể là do - rất có thể - một công tắc bị lỗi (bộ nhớ đệm kém) hoặc máy chủ bị lỗi (NIC hoặc RAM).

Nếu dữ liệu khung bị hỏng trong quá trình vận chuyển, trên cáp, FCS rất có thể không xác minh được, làm cho công tắc tiếp theo bỏ khung đó. Tuy nhiên, nếu một khung như vậy được vận chuyển qua mạng với một FCS hợp lệ, nó chắc chắn đã bị hỏng. trước rằng FCS đã được tính toán, yêu cầu một công tắc hoặc máy chủ bị lỗi.

Bạn sẽ cần theo dõi lại lưu lượng truy cập đó. Nếu địa chỉ MAC nguồn không hợp lệ hoặc không thể kiểm tra được trên các thiết bị chuyển mạch trung gian (không được quản lý), bạn sẽ cần dò lại đường đi của mình dọc theo dây cáp.

Có vẻ như bạn có một thẻ NIC xấu. Nếu địa chỉ MAC nguồn hợp lệ, bạn có thể tìm thấy nó bằng cách kiểm tra bảng MAC của switch. Nếu nó bị hỏng, bạn sẽ phải bắt đầu rút phích cắm thiết bị để tìm thấy nó.

Điều đó nghe có vẻ như bạn có một thiết bị (có thể là bộ chuyển mạch 100 Mb/giây) ở đâu đó không thể xử lý luồng lưu lượng và bắt đầu làm hỏng các gói khi bộ đệm bên trong của nó bị tràn.
(Hoặc nó chỉ có một RAM xấu).

Nó không nhận thấy rằng nó có các gói bị hỏng và sẽ vui vẻ truyền lại chúng, với tổng kiểm tra mới được tính toán mới.Vì vậy, các gói xấu được chấp nhận bởi các thiết bị chuyển mạch khác (tổng kiểm tra là tốt, các thiết bị chuyển mạch không quan tâm rằng nội dung là vô nghĩa) và được chuyển tiếp qua toàn bộ mạng.

Nó thực sự tồi tệ hơn thế:
Xem xét cách các công tắc tìm hiểu thiết bị nào (địa chỉ mac) ở sau cổng nào. Bất kỳ gói nào được định sẵn cho một địa chỉ mac mà công tắc chưa học được sẽ tràn vào tất cả các cổng của công tắc (ngoại trừ cổng mà nó đến từ đó). Điều này biến một gói địa chỉ mac chưa được học thành một chương trình phát sóng tạm thời một cách hiệu quả.
Bởi vì các thiết bị chuyển mạch của bạn sẽ không bao giờ học được các địa chỉ mac này (xét cho cùng, chúng là địa chỉ mac bị hỏng, không phải địa chỉ mac thực), chúng TẤT CẢ được coi như các chương trình phát sóng ...
Điều này về cơ bản làm ngập toàn bộ mạng với các gói không thể gửi được.
(Và lưu ý rằng các biện pháp giảm thiểu bão phát thông thường không hoạt động trong trường hợp này. Chúng chỉ hoạt động trên các gói phát sóng THỰC SỰ, không phải trên các lũ học tập này.)

Cách duy nhất để khắc phục sự cố này là tắt từng công tắc một và xem điều đó có làm cho sự cố biến mất không. Nếu bạn có thể thu hẹp nó xuống còn 1 công tắc thì đó sẽ là chính công tắc đó hoặc một thiết bị được kết nối phía sau công tắc đó.

Sự khác biệt giữa một trung tâm và một công tắc là khi một công tắc gặp xung đột, nó sẽ loại bỏ gói thứ hai hoặc nó lưu trữ nó và sau đó chuyển tiếp nó khi gói đầu tiên kết thúc; trong đó một trung tâm sẽ vui vẻ cho phép xung đột xảy ra và chỉ thay thế nội dung của gói bằng 10101... để chỉ ra rằng đó là một xung đột và tiếp tục gửi cho đến khi cả hai gói kết thúc.

Giải pháp ở đây là loại bỏ các trung tâm vì chúng đã lỗi thời. Họ đã ngừng sản xuất bộ chia trước khi có 1G, do đó, bộ chia phải là 100M hoặc chậm hơn. Chuẩn mạng 1G không hỗ trợ hub.

Đối với một chút lịch sử, trước khi có các trung tâm, đã có các bộ lặp. Sự khác biệt giữa bộ lặp và bộ tập trung là bộ lặp nhận tín hiệu tương tự, làm sạch nó một chút trở lại thành sóng vuông đẹp, sau đó truyền lại tín hiệu đó, trong đó bộ trung tâm thực sự xem xét một chút nội dung trong gói và cố gắng đảm bảo rằng gói được hình thành tốt. Tuy nhiên, không ai trong số họ làm bất cứ điều gì để khắc phục va chạm, họ cứ để chúng xảy ra. Bộ lặp và bộ tập trung có từ trước khi ethernet được coi là xe buýt không có bộ đệm và chỉ một thiết bị trên mạng có thể phát biểu tại một thời điểm. Khi ethernet là một bus thực sự (10base2 và 10base5), để bắt đầu một gói, bạn truyền các bit bắt đầu (10101...) , sau đó bạn tiếp tục gói tin của mình. Nếu bạn bị gián đoạn, bạn sẽ va chạm và cả hai bên sẽ lùi lại và thử lại vào một thời điểm ngẫu nhiên sau đó. Nếu một bên không hủy bỏ, thì bạn có một vụ va chạm muộn. Trung tâm của bạn đang biến các va chạm muộn của bạn thành tất cả các bit bắt đầu. Có thể một cái gì đó trong đường dẫn không nhận ra gói là một vụ va chạm muộn và thay vì loại bỏ nó đang cải tổ nó thành một gói hợp lệ. Hoặc trình thám thính gói bừa bãi của bạn nhìn thấy các gói không hợp lệ cũng như các gói hợp lệ.

Ngược lại điều này với một công tắc, không chỉ khắc phục xung đột mà còn có thể hỗ trợ song công hoàn toàn, trong đó một gói được truyền đi trong khi một gói khác đang được nhận. Chuẩn 100M hỗ trợ các công tắc có và không hỗ trợ song công hoàn toàn và điều này được thỏa thuận giữa các thiết bị khi cáp được cắm vào. Chuẩn ethernet 1G yêu cầu tất cả các thiết bị hỗ trợ song công hoàn toàn, vì vậy không cho phép sử dụng bộ tập trung trên kết nối 1G, và do đó, các trung tâm 1G không tồn tại.