مشکل Broadcast Storm در شبکه سازمانی چیست و چگونه از آن جلوگیری کنیم؟

مشکل Broadcast Storm به معنای طوفان انتشارنوعی اختلال در سرورها است که مشکلاتی مانند کند شدن سرور، اختلالات مختلف و … را ایجاد میکند. اما Broadcast Storm چیست؟ چگونه میتوانیم از این مشکل جلوگیری کنیم و راه حل های برطرف کردن آن چیست؟

با ما در کامکو همراه باشید تا این اختلال را بررسی کرده و راه های جلوگیری از آن را معرفی کنیم. هرچند بهتر است برای جلوگیری از مشکلات Broadcast Storm و مشکلات مشابه از مهندسین متخصص این حوزه کمک بگیرید که خدمات پشتیبانی سرور و شبکه را ارائه میدهند، اما میتوانید چند روش ساده را نیز روی سرور خود پیاده کنید تا از مشکلات Broadcast Storm و دیگر مشکلات جلوگیری کنید.

همچنین در ادامه پیامدهای این طوفان را بررسی میکنیم و عوارضی که ایجاد میکند را معرفی میکنیم.

Broadcast Storm چیست؟

همانطور که نام این اختلال (طوفان انتشار) مشخص است، Broadcast Storm زمانی به وجود می آید که حجم پیام بسیار بالایی در مدت زمان کوتاه منتشر میشود و فشار زیادی به پردازنده ها و سرورها وارد میکند. در این وضعیت تمامی سرورها مشغول پردازش پیام ها شده و حجم زیادی از آنها نیز گرفته میشود.

سرورها برای پردازش این حجم دیتا طراحی نشده اند و در صورت بروز این طوفان تحت فشار زیادی قرار میگیرند. همچنین ممکن است هر پیام به مقصد اشتباهی فرستاده شود و دیتای ورودی کاربران نیز با مشکل مواجه شود.

Broadcast Storm چیست و چه تاثیری روی سرور خواهد داشت؟

مشکلاتی که Broadcast Storm برای سرور ایجاد میکند اکثرا کوتاه مدت هستند و به راحتی برطرف میشوند. با این حال برای مدت زمانی هرچقدر کوتاه، باعث میشود کاربران نتوانند از سیستم به درستی استفاده کنند. از طرفی اگر این اختلال چندین بار پشت سرهم به وجود بیاید، ممکن است سرورها آسیب جدی ببینند؛ پس بهتر است روش‌های جلوگیری و پیشگیری از این اختلال را بدانیم.

قبل از آن به بررسی عوارض اختلال Broadcast Storm روی سرور میپردازیم:

کاهش شدید پهنای باند

واضح است که وقتی حجم زیادی پیام در مدت زمان کوتاه ارسال میشود، پهنای باند زیادی را اشغال میکند و این پهنای باند بین سوییچ ها پر میشود. لذا وقتی قرار است در این شرایط یک دیتای واقعی رد و بدل شود و به دست سرور یا کاربر برسد، با مشکل کاهش شدید پهنای باند مواجه خواهد بود. وقتی پهنای باند نیز کاهش یابد، سرعت ارسال و دریافت پیام به طور چشمگیری افت میکند.

قطع ارتباط دستگاه ها

وقتی Broadcast Storm به طور ناگهانی اتفاق می افتد، در برخی موارد سرورها و پردازنده ها به طور کل قادر به پردازش این حجم از دیتا نخواهد بود و به طور کلی از کار می‌افتند. مثلا تصور کنید در یک سیستم، آن بخش از سرورها که IP گیرنده پیام را پیدا میکنند دچار Broadcast Storm شده اند. در این شرایط سیستم کلا نمیتواند آدرس اینترنت گیرنده پیام را پیدا کند و در نهایت سیستم به طور کلی قطع میشود.

ایجاد حلقه پیام بی پایان

وقتی در حین طوفان انتشار، یک حلقه بین دو شبکه ایجاد میشود، یک پیام دائما از شبکه 1 به شبکه 2 ارسال میشود و سپس دوباره از شبکه 2 به شبکه 1 ارسال میشود. در نهایت یک حلقه پیام بی پایان شکل گرفته است که درواقع دو پورت یک سوییچ را به یکدیگر متصل میکند و کل سیستم را مختل میکند.

کاهش کیفیت سرویس دهی

بدیهی است که وقتی سرور دچار هرگونه مشکل اعم از Broadcast Storm شده باشد، نمیتواند اطلاعات بین فرستنده و گیرنده را به خوبی منتقل کند و سرویس دهی سیستم به طور قابل توجهی کاهش میابد. این مشکل خصوصا وقتی ارتباط بین کاربران باید با سرعت زیادی منتقل شود، مانند ویدیوکال، تماس و … کاملا محسوس خواهد بود.

افزایش بار پردازشی روی تجهیزات شبکه

Broadcast Storm بار پردازشی زیادی را روی شبکه قرار میدهد. در اولین لحظات شبکه ها و سرورها سعی میکنند از تمام ظرفیت خود برای برطرف کردن مشکل و انتقال اطلاعات استفاده کنند. پس از مدتی فشار روی پردازنده ها خیلی زیاد میشود و این فشار باعث از کار افتادن سرورها خواهد شد.

Broadcast Storm چیست و چگونه از بروز آن جلوگیری کنیم؟

تا کنون دو مساله Broadcast Storm چیست و چه عوارضی دارد را بررسی کردیم. در این قسمت راه های جلوگیری از این حمله را معرفی میکنیم.

طراحی و پیکربندی شبکه برای کاهش مشکل Broadcast Storm

• اگر از VLANها استفاده شود و شبکه به بخش های کوچکتری تقسیم شود، هر بخش از سرور تعداد دستگاه های کمتری را کنترل میکند. تعداد کمتر دستگاه های کنترل شده به معنای ساده تر بودن کنترل شبکه و کاهش احتمال بروز Broadcast Storm خواهد شود.
• غیرفعال بودن پروتکل‌های غیر ضروری مانند مسیریابی یا مدیریت شبکه میتواند کمک زیادی به کاهش احتمال بروز طوفان انتشاری شود.
• از ابزارهای مختلف استفاده کنید و دائما حجم ترافیک شبکه را بررسی کنید. اگر متوجه کاهش شدید حجم ترافیک یا افزایش شدید آن شدید هرچه سریع تر برای کنترل آن اقدام کنید و از بروز Broadcast Storm در همان لحظات ابتدایی جلوگیری کنید.
• به طور منظم جدول های ARP را بررسی کنید و اطلاعات آنها را تحت نظر داشته باشید. همچنین اطمینان حاصل کنید اطلاعات این جدول ها صحیح و دقیق است.
• برخی پورت ها فیلترهای مختلفی دارند که میتوانید از آنها استفاده کنید و برای حجم دیتای آنها محدودیت قرار دهید. با این کار درواقع میتوانید محدودیت حجم دیتا را کمتر از حدی قرار دهید که سرور مختل شود و از کار بیوفتد. در این صورت حتی با وجود Broadcast Storm سرور از کار نمی افتد و صرفا دیگر دیتای جدیدی وارد آن نمیشود.

علت ایجاد Broadcast Storm	توضیح	راه‌حل پیشنهادی
عدم پیکربندی صحیح STP (Spanning Tree)	حلقه‌های شبکه بدون کنترل	فعال‌سازی یا اصلاح تنظیمات STP در سوئیچ‌ها
اتصال اشتباه کابل‌ها به پورت‌های Loop	ایجاد مسیر چرخشی در شبکه	طراحی دقیق توپولوژی و استفاده از پورت‌های بلاک‌شده
ارسال زیاد ARP یا Broadcast به دلایل نرم‌افزاری	بدافزار یا اشتباه نرم‌افزاری	مانیتورینگ و محدودسازی ترافیک ARP
سوئیچ‌های غیرمدیریتی در شبکه	عدم پشتیبانی از STP یا کنترل ترافیک	جایگزینی با سوئیچ مدیریتی یا جداسازی فیزیکی

تشخیص و ابزارهای شناسایی Broadcast Storm

یکی از چالش‌های اصلی در شبکه‌های سازمانی، تشخیص به‌موقع Broadcast Storm پیش از ایجاد اختلال گسترده در عملکرد سیستم‌هاست. این نوع ترافیک در لحظات اولیه به‌سرعت گسترش می‌یابد و اگر ابزارهای مانیتورینگ فعال نباشند، ممکن است منجر به قطع کامل ارتباط شبکه شود. در ادامه روش‌ها و ابزارهای تخصصی برای شناسایی طوفان انتشار معرفی می‌شوند.

---

۱. علائم اولیه وقوع Broadcast Storm

پیش از استفاده از ابزارهای فنی، برخی نشانه‌ها می‌توانند به تیم پشتیبانی شبکه هشدار دهند که طوفان انتشار در حال وقوع است:

• افزایش ناگهانی استفاده از پهنای باند (Bandwidth Utilization) تا نزدیک ۱۰۰٪.
• کند شدن شدید یا قطع کامل ارتباط در VLANهای خاص.
• تاخیر در پاسخ DHCP، ARP و DNS.
• مشاهده‌ی افزایش Packet Drop در پورت‌های سوئیچ.
• داغ شدن بیش از حد سوئیچ‌ها یا افت عملکرد CPU آن‌ها.
• قطع و وصل شدن مکرر لینک‌ها در لاگ سوئیچ.

در صورت مشاهده هر یک از این موارد، باید فوراً ترافیک شبکه بررسی شود.

---

۲. استفاده از ابزارهای مانیتورینگ شبکه

ابزارهای مانیتورینگ به شما کمک می‌کنند تا حجم و نوع ترافیک را به‌صورت زنده مشاهده کنید و منبع Broadcast را شناسایی نمایید.

الف) Wireshark

Wireshark یکی از قدرتمندترین ابزارهای آنالیز بسته‌های شبکه است.
برای شناسایی Broadcast Storm می‌توانید از فیلترهای زیر استفاده کنید:

• مشاهده تمام بسته‌های Broadcast: eth.dst == ff:ff:ff:ff:ff:ff
• بررسی ترافیک ARP برای شناسایی ARP Flood: arp
• مشاهده‌ی Broadcastهای DHCP: bootp

اگر تعداد بسته‌های broadcast در هر ثانیه به شکل غیرطبیعی افزایش یافته باشد، احتمال وقوع طوفان بسیار بالاست.

---

ب) SNMP Monitoring (مانیتورینگ از طریق SNMP)

مدیران شبکه می‌توانند از ابزارهایی مانند PRTG Network Monitor، SolarWinds، ManageEngine OpManager یا Zabbix استفاده کنند.
با فعال کردن SNMP Trap و Threshold Alert، سیستم به‌صورت خودکار در صورت افزایش بیش از حد ترافیک broadcast، هشدار ارسال می‌کند.

پیشنهاد فنی:
در SNMP، پارامترهای زیر را مانیتور کنید:

• ifInBroadcastPkts و ifOutBroadcastPkts برای شمارش بسته‌های broadcast.
• ifInDiscards برای تشخیص Dropهای غیرعادی در پورت‌ها.
• CPU Utilization سوئیچ و روتر.

---

ج) استفاده از دستورات CLI روی سوئیچ‌ها (Cisco / HP / Mikrotik)

اگر از سوئیچ‌های مدیریتی استفاده می‌کنید، با چند دستور ساده می‌توانید وضعیت پورت‌ها را بررسی کنید:

در Cisco IOS:

show interfaces counters errors
show interfaces | include line|packets
show mac address-table
show spanning-tree

• دستور اول افزایش خطاهای ورودی و خروجی را نشان می‌دهد.
• دستور دوم میزان Packet و Broadcast را مشخص می‌کند.
• دستور سوم کمک می‌کند پورت‌هایی را که به‌صورت غیرعادی MAC Table را پر می‌کنند شناسایی کنید.
• دستور آخر برای بررسی وضعیت STP و حلقه‌های احتمالی است.

در سوئیچ‌های HP (ProCurve):

show interfaces all
show statistics
show spanning-tree

در Mikrotik:

/interface monitor-traffic all
/tool torch

با استفاده از دستور Torch می‌توانید پورت یا دستگاه تولیدکننده ترافیک را شناسایی کنید.

---

د) مانیتورینگ NetFlow و sFlow

در شبکه‌های سازمانی بزرگ، فعال‌سازی NetFlow یا sFlow روی روترها و سوئیچ‌ها باعث می‌شود بتوانید نوع، منبع و مقصد ترافیک را به‌صورت دقیق تحلیل کنید.
در صورتی که درصد بالایی از ترافیک مربوط به broadcast یا multicast باشد (بیش از ۵٪ در شبکه سازمانی)، باید منبع تولیدکننده مشخص شود.

---

۳. روش‌های تشخیص سریع (در لحظه وقوع)

اگر سیستم مانیتورینگ نداشته باشید، این روش‌ها برای تشخیص سریع مفید هستند:

• قطع تدریجی لینک‌ها و بررسی کاهش broadcast در هر مرحله برای یافتن پورت عامل.
• استفاده از قابلیت Port Mirroring (SPAN) روی سوئیچ برای مشاهده‌ی ترافیک پورت مظنون در Wireshark.
• بررسی لاگ‌های Syslog برای پیام‌های مرتبط با “excessive broadcast” یا “storm detected”.

بررسی سخت افزارها برای کاهش احتمال بروز Broadcast Storm

• برای این کار خوب است تمام پروتکل ها را بررسی کنید و حلقه های ایجاد شده بین آنها را پیدا کنید. سپس حلقه های بدون کاربرد را حذف کنید و پیکربندی سیستم را ساده تر کنید.
• از تجهیزات با کیفیت استفاده کنید. تجهیزاتی که کیفیت مطلوبی ندارند بیشتر دچار اختلالات مختلف خواهند شد.
• از تجهیزات پشتیبان استفاده کنید. استفاده از خدمات پشتیبانی شبکه های کامپیوتری که توسط کامکو ارائه میشود، میتواند کمک زیادی به جلوگیری از Broadcast Storm بکند.

چک‌لیست عملی — اگر الآن Broadcast Storm اتفاق افتاد، فوری چه کار کنم؟ (Quick Response)

وقوع Broadcast Storm در شبکه سازمانی می‌تواند در عرض چند ثانیه تمام ارتباطات را مختل کند. در چنین شرایطی، واکنش سریع، منظم و مستند مهم‌ترین عامل در کنترل بحران است. در ادامه یک چک‌لیست مرحله‌به‌مرحله برای اقدام فوری ارائه شده است:

---

مرحله ۱: تشخیص سریع (Identify the Storm)

1. از طریق مانیتورینگ SNMP یا CLI سوئیچ‌ها بررسی کنید کدام پورت‌ها ترافیک Broadcast غیرعادی دارند.
   • در Cisco دستور زیر را اجرا کنید: show interfaces counters errors show mac address-table
2. به افزایش ناگهانی ifInBroadcastPkts یا CPU Utilization دقت کنید.
3. درصورت وجود، از ابزار Wireshark یا SolarWinds برای تأیید طوفان استفاده کنید.

---

مرحله ۲: ایزوله کردن شبکه (Containment)

1. پورت مشکوک را موقتاً غیرفعال کنید. shutdown interface GigabitEthernet0/x
2. اگر چند VLAN درگیر هستند، آن‌ها را موقتاً از Trunk Ports جدا کنید تا Broadcast در سایر VLANها پخش نشود.
3. در شبکه‌های بزرگ، سوئیچ‌های توزیع (Distribution Layer) را از هسته (Core) جدا کنید تا Broadcast محدود شود.

---

مرحله ۳: بررسی توپولوژی و STP

1. با دستور زیر وضعیت Spanning Tree را چک کنید: show spanning-tree
2. اطمینان حاصل کنید که هیچ پورت در حالت Loop نیست و Root Bridge به‌درستی انتخاب شده است.
3. اگر STP غیرفعال است، فوراً آن را فعال (enable) کنید تا حلقه‌ها شناسایی و مسدود شوند.

---

مرحله ۴: مانیتورینگ و تثبیت شبکه

1. پس از ایزوله کردن منبع، وضعیت Broadcast را با دستور زیر مجدداً بررسی کنید: show interfaces summary
2. اگر ترافیک به حالت عادی برگشت، پورت‌های غیرفعال را به‌صورت مرحله‌ای فعال کنید و هر بار آمار را بررسی نمایید.
3. در پایان، Storm Control را روی پورت‌ها فعال کنید تا در آینده از وقوع مجدد جلوگیری شود: interface range GigabitEthernet0/1 - 48 storm-control broadcast level 5.00 3.00 storm-control action shutdown

---

مرحله ۵: مستندسازی و پیشگیری

1. علت دقیق وقوع Broadcast Storm را مستند کنید (کابل اشتباه، سوئیچ غیرمدیریتی، خطای VLAN و غیره).
2. جدول MAC Address را بررسی و پورت‌های غیرضروری را Disable Permanently کنید.
3. به‌روزرسانی تنظیمات شبکه و تجهیزات را به تیم پشتیبانی شبکه کامکو یا مدیر IT اطلاع دهید.
4. پس از اتمام بحران، سیستم مانیتورینگ (مانند PRTG یا Zabbix) را برای هشدار خودکار تنظیم کنید.

---

خلاصه‌ی چک‌لیست (برای چاپ در NOC)

وضعیت	اقدام فوری	ابزار پیشنهادی
شبکه کند یا قطع شده	بررسی Broadcast در پورت‌ها	CLI، SNMP
منبع مشخص نیست	قطع مرحله‌ای پورت‌ها	Port Mirroring
حلقه در شبکه دیده می‌شود	بررسی STP	show spanning-tree
ترافیک زیاد در VLAN	جداسازی VLAN یا Trunk	Switch CLI
بازگشت به حالت پایدار	فعال‌سازی storm-control	Cisco CLI / GUI