广播风暴（broadcast storm）是指当广播数据充斥网络无法处理，并占用大量网络带宽，导致正常业务不能运行，甚至彻底瘫痪的现象。

当主机系统响应一个在网上不断循环的报文分组或者试图响应一个没有应答的系统就会产生广播风暴。随着网上未被响应的分组数的增加，还会产生拥塞，从而降低了网络的性能，严重时会使网络陷入瘫痪。

适当地划分VLAN，以缩小广播域、隔离广播风暴，可以防止广播风暴的再次发生。还可以在千兆以太网口上启用广播风暴控制，最大限度地避免网络再次陷入瘫痪。当端口接收到大量的广播、单播或多播包时，就会发生广播风暴。转发这些包将导致网络速度变慢或超时。借助于对端口的广播风暴控制，可以有效地避免因硬件损坏或链路故障而导致的网络瘫痪。

要理解什么是广播风暴，就必须先理解网络通信技术。网络上的一个节点，它发送一个数据帧或包，被传输到由广播域定义的本地网段上的每个节点就是广播。

网络广播分为第2层广播和第3层广播。第2层广播也称硬件广播，用于在局域网内向所有的结点发送数据，通常不会穿过局域网的边界（路由器），除非它变成一个单播。广播将是一个二进制的全1或者十六进制全F的地址。而第3层广播用于在这个网络内向所

有的结点发送数据。第3层广播也支持平面的老式广播。广播信息是指以某个广播域所有主机为目的的信息。这些被称为网络广

播，它们所有的主机位均为ON。硬件组播（multicasting）是一种多点投递的形式，它使用硬件技术，通过使用大量组播地址来通信。当某一组机器需要通信时，选择一个组播地址，并配置好相应的网络接口硬件，识别组播地址，从而收到该组播地址上分组的拷贝。

广播（broadcasting）是多点投递的最普遍的形式，它向每一个目的站投递一个分组的拷贝。它可以通过多个单次分组的投递完成，也可以通过单独的连接传递分组的拷贝，直到每个接收方均收到一个拷贝为止。在多数网络中，用户是通过把分组分送给一个特殊保留的地址即广播地址（broadcast address）来进行广播投递，它的主要缺点是会耗费大量的主机资源和网络资源。

单播（unicasting）是指只有一个目的地的数据报传递。从投递目的地的数量而言，单播和广播均可看作是组播的一个子集。单播可以看作仅包括一台机器群组的组播；广播可以看作包含了所有机器群组的组播。但从数据报的投递方式而言，单播、广播和组播还是有较大的区别。

要想正确理解广播风暴的具体含义，必须了解一下工作在网络中的网络设备的工作原理。工作在网络中的网络设备，基本上都是交换机了。

交换机的定义：交换机是一种基于麦金塔（网卡的地址硬件）识别，能完成封装转发数据包功能的网络设备。交换机可以“学习”MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。集线器，又称Hub。但是这并不意味着，我们不需要了解Hub的基本知识。

集线器的定义：集线器（HUB）属于数据通信系统中的基础设备，它和双绞线等传输介质一样，是一种不需任何软件支持或只需很少管理软件管理的硬件设备。它被广泛应用到各种场合。集线器工作在区域网路(LAN)环境，像网卡一样，应用于OSI参考模型第一层，因此又被称为物理层设备。集线器内部采用了电器互联，当维护LAN的环境是逻辑总线或环型结构时，完全可以用集线器建立一个物理上的星型或树型网路结构。在这方面，集线器所起的作用相当于多连接埠的中继器。其实，集线器实际上就是中继器的一种，其区别仅在于集线器能够提供更多的连接埠服务，所以集线器又叫多口中继器。

经常会存在这样一个技术误区，网络中使用的是交换机，数据全部是点对点转发的，为什么还会产生广播风暴呢？在充分了解了交换机与集线器的功能区别后，人们就会明白，使用交换机作为网络设备的网络，为什么会出现广播风暴。

用集线器组成的网络称为共享式网络，而用交换机组成的网络称为交换式网络。共享式以太网存在的主要问题是所有用户共享带宽，每个用户的实际可用带宽随网路用户数的增加而递减。这是因为当资讯繁忙时，多个用户可能同时“争用”一个信道，而一个信道在某一时刻只允许一个用户

占用，所以大量的用户经常处于监测等待状态，致使信号传输时产生抖动、停滞或失真，严重影响了网络的性能。在交换式以太网中，交换机提供给每个用户专用的资讯通道，除非两个源连接埠企图同时将资讯发往同一个目的连接埠，否则多个源连接埠与目的连接埠之间可同时进行通信而不会发生冲突。通过实验测得，在多服务器组成的LAN中，处于半双工通信模式下的交换式以太网的实际最大传输速度是共享式网路的1.7倍，而工作在全双工状态下的交换式以太网的实际最大传输速度可达到共享式网路的3.8倍。交换机只是在工作方式上与集线器不同，其他的如连接方式、速度选择等与集线器基本相同，交换机同样从速度上分为10M、100M和1000M几种，所提供的连接埠数多为8口、16口和24口几种。交换机在区域网路中主要用于连接工作站、Hub、服务器或用于分散式主干网。

基本定义:

ARP（Address 分辨率 Protocol，地址解析协议）是一个位于TCP/IP协议栈中的底层协议，对应于数据链路层，负责将某个IP地址解析成对应的MAC地址。

基本功能:

ARP协议的基本功能就是通过目标设备的IP地址，查询目标设备的麦金塔地址，以保证通信的进行。

攻击原理:

ARP攻击就是通过伪造IP地址和MAC地址实现ARP欺骗，能够在网络中产生大量的ARP通信量使网络阻塞，攻击者只要持续不断的发出伪造的ARP响应包就能更改目标主机ARPCPU缓存中的IP-MAC条目，造成网络中断或中间人攻击。

ARP攻击主要是存在于局域网网络中，局域网中若有一台计算机感染ARP木马，则感染该ARP木马的系统将会试图通过“ARP欺骗”手段截获所在网络内其它计算机的通信信息，并因此造成网内其它计算机的通信故障。

某机器A要向主机B发送报文，会查询本地的ARP缓存表，找到B的IP地址对应的麦金塔地址后，就会进行数据传输。如果未找到，则A广播一个ARP请求报文（携带主机A的IP地址Ia——物理地址Pa），请求IP地址为Ib的主机B回答物理地址Pb。网上所有主机包括B都收到ARP请求，但只有主机B识别自己的IP地址，于是向A主机发回一个ARP响应报文。其中就包含有B的MAC地址，A接收到B的应答后，就会更新本地的ARPCPU缓存。接着使用这个MAC地址发送数据（由网卡附加MAC地址）。因此，本地高速缓存的这个ARP表是本地网络流通的基础，而且这个缓存是动态的。

激活防止ARP病毒攻击。在路由器中打开该选项，或者为计算机安装防范ARP攻击的软件，如360安全卫士的局域网ARP攻击拦截的保护功能等；对局域网内每一台计算机绑定网关的IP和其麦金塔地址；给每一台计算机安装最新补丁，最好通过在局域网内架设补丁服务器（Windows Server更新服务）来确保每一台计算机都能 打上最新的补丁程序，如关键更新、安全更新和Service Pack；给系统管理员帐户

设置足够复杂的强密码；经常更新杀毒软件的病毒库和网络软件防火墙的规则库；关闭一些不需要的服务；不随意点击聊天工具里出现的超链接、邮件的附件和来历不明的程序。

部分视频网络传输设备为了便于网络视频点播，常常采用UDP的方式，以广播数据包的形式对外进行发送，如果在专用网络中也使用这种方式，很容易引发广播风暴，导致网络阻塞，因此必须通过相关设置来杜绝这类故障。

对策：将视频网络传输设备所连接的交换机端口进行一些设置，对设备本身的网络传输模式以及传送协议类型进行更改，消除网络广播风暴。

如不合适的温度、湿度、震动和电磁干扰等，尤其是电磁干扰比较严重的环境下，同样也有可能会使网络变得不稳定，造成数据传输错误，引发广播风暴。

对策：要严格执行接地要求，特别是涉及远程线路的网络转接设备，否则达不到规定的连接速度，导致在联网过程中产生莫名其妙的故障；另外在建网之初必须考虑尽量避免计算机或者网络介质直接暴露强磁场中，如电磁炉、高压电缆、电源插头处等等；定期对计算机进行清洁工作。

帧的传输方式，即单播帧（Unicast Frame）、多播帧（Multicast Frame）和广播帧（Broadcast Frame）。

1、单播帧

单播帧也称“点对点”通信。此时帧的接收和传递只在两个节点之间进行，帧的目的麦金塔地址就是对方的MAC地址，网络设备（指交换机和路由器）根据帧中的目的MAC地址，将帧转发出去。

2、多播帧

多播帧可以理解为一个人向多个人（但不是在场的所有人）说话，这样能够提高通话的效率。多播占网络中的比重并不多，主要应用于网络设备内部通信、网上视频会议、网上视频点播等。

3、广播帧

广播帧可以理解为一个人对在场的所有人说话，这样做的好处是通话效率高，信息一下子就可以传递到全体。在广播帧中，帧头中的目的麦金塔地址是“FF.FF.FF.FF.FF.FF”，代表网络上所有主机网卡的MAC地址。

广播帧在网络中是必不可少的，如客户机通过DHCP自动获得IP地址的过程就是通过广播帧来实现的。而且，由于设备之间也需要相互通信，因此在网络中即使没有用户人为地发送广播帧，网络上也会出现一定数量的广播帧。

同单播和多播相比，广播几乎占用了子网内网络的所有带宽。网络中不能长时间出现大量的广播帧，否则就会出现所谓的“广播风暴”（每秒的广播帧数在1000以上）。拿开会打一个比方，在会场上只能有一个人发言，如果所有人都同时发言的话，会场上就会乱成一锅粥。广播风暴就是网络长时间被大量的广播数据包所占用，使正常的点对点通信无法正常进行，其外在表现为网络速度奇慢无比。出现广播风暴的原因有很多，一块故障网卡就可能长时间地在网络上发送广播包而导致广播风暴。

使用路由器或三层交换机能够实现在不同子网间隔离广播风暴的作用。当路由器或三层交换机收到广播帧时并不处理它，使它无法再传递到其他子网中，从而达到隔离广播风暴的目的。因此在由几百台甚至上千台电脑构成的大中型局域网中，为了隔离广播风暴，都要进行子网划分。

使用vlan完全可以隔离广播风暴。

作为网络管理员，在面对网络广播风暴发生时，要冷静分析广播风暴产生的原因，可使用二分法、排除法、替换法和网线插拔法等多种方法综合运用，一步一步地进行故障排除，快速定位引发广播风暴的故障点，查出引发广播风暴的原因，及时采取相应措施来消灭广播风暴。总的来看，要解决广播风暴的问题，可以从以下几个方面入手：

一、在局域网中安装Windows Server更新服务补丁服务器，保证局域网所有计算机都能及时打上最新的补丁。

二、最好在局域网内安装网络版的防毒服务器，如无条件，起码也得保证单机版的防毒软件的病毒库是经常更新的。

三、检查每一台计算机的网卡、网线和交换机的每一个端口，检查是否有

故障。四、当广播风暴发生时，观察交换机的指示灯不为很好的方法，可直接观察网络连通性及网络流量。

要避免广播风暴，可以采用恰当划分VLAN、缩小广播域、隔离广播风暴，还可在千兆以太网口上启用广播风暴控制，最大限度地避免网络再次陷入瘫痪。当端口接受到大量的广播、单播或组播的包时，就会发生广播风暴。转发这些包会导致网络速度变慢或超时，在交换机上借助对端口的广播风暴控制可以有效避免硬件损坏或链路故障导致的广播风暴的网络瘫痪。

从实际经验来看，90%以上的网络广播风暴是病毒所致，因此，在局域网中配备防病毒系统，购置IDS入侵检测系统、网络流量检测工具等，以加强网络病毒的防治，加强对网络线路运行状态的监控，及时发现和处理网络上的异常流量和病毒攻击等问题，并制定计算机安全管理制度，确保网络线路的正常运行。