某部门环路问题分析报告

IT小欧

某部门环路问题分析报告

案例分析
在分析服务中我们发现某个网段的DNS流量明显偏高，由于DNS服务器并不在该网段，所以这个现象属于明显异常。

经过挖掘发现是各IP地址访问10.*.241.13的流量

分析数据包发现这段流量存在IP TTL太小的报警。IP TTL太小表示访问引起了路由环路。


进一步分析发现抓到的为同一个数据包，并且TTL值依次递减，可以判断是上图中各地址到10.*.241.13存在环路。


根据生存时间的排列可以发现，同一个生存时间的包会被抓到两次。一般情况下会三层转发数据包并且不减TTL值得只有防火墙，该抓包点刚好在核心交换的出口，出口外刚好有一台防火墙。于是首先查了核心交换与防火墙的路由表，发现：核心交换默认路由指向防火墙，内网明细路由指向内网个网段。防火墙默认路由指向外网，有一条10.0.0.0/8的路由指回核心交换机。