最近防火墙上报出很多的 IP spoofing! From 192.168.1.89:1900 to 239.255.255.250:1900, proto UDP (zone Trust, int ethernet0/0). Occurred 4 times.
类似这样的错误，同时带宽被大量占用

做了对1900 UDP阻止的策略，但是没有效果。貌似对这个地址的广播是全网传送
有没有什么好的解决办法，或者是应该怎样做策略才能把这种情况阻止掉

谢谢~

两种情况：
1、估计192.168.1.89中毒了
2、此IP在BT

找到了这个机器

没有什么下载
用卡巴扫描了也没有发现病毒

唯一的问题就是这个机器为了要连多个网段，设置了很多的ＩＰ地址
这个会有问题么

处于同一个网络的所有设备，位于同一个广播域。也就是说，所有的广播信息会播发到网络的每一个端口，即使交换机、网桥也不能阻止广播信息的传播。因此同一时间只能有一个广播信息在网络中传送。

对于证券网络，使用的是NOVELL操作系统，所有设备都将在网络中定时播发广播包，以告知其它设备自己的存在。还有许多其他功能需要使用广播，如设备开机、消息播送、视频广播等。

当网络上的设备越来越多，广播所占用的时间也会越来越多，多到一定程度时，就会对网络上的正常信息传递产生影响，轻则造成传送信息延时，重则造成网络设备从网络上断开，甚至造成整个网络的堵塞、瘫痪，这就是广播风暴。
网吧行业竞争的加剧，出现了一些规模比较大的网吧。目前在网吧行业内，百台以上的网吧已经随处可见了。由于网吧在进行网络建设时，缺乏专业的网络技术支持，使得网吧的网络故障频繁出现。在网吧的网络故障中，由于网络广播风暴引起的网络故障，占网吧网络故障的九成以上。网络广播风暴到底是如何形成的呢？

要想正确理解广播风暴的具体含义，我们必须了解一下工作在网络中的网络设备的工作原理。目前，工作在网吧网络中的网络设备，基本上都是交换机了。对于交换机，并没有真正的了解其工作原理。

一、交换机基础知识

1、交换机的定义：交换机是一种基于MAC（网卡的硬件地址）识别，能完成封装转发数据包功能的网络设备。交换机可以“学媳MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。

现在，交换机已经替代了我们原来比较熟悉的网络设备集线器，又称Hub。但是这并不意味着，我们不需要了解Hub的基本知识。

2、集线器的定义：集线器（HUB）属于数据通信系统中的基础设备，它和双绞线等传输介质一样，是一种不需任何软件支持或只需很少管理软件管理的硬件设备。它被广泛应用到各种场合。集线器工作在局域网(LAN)环境，像网卡一样，应用于OSI参考模型第一层，因此又被称为物理层设备。集线器内部采用了电器互联，当维护LAN的环境是逻辑总线或环型结构时，完全可以用集线器建立一个物理上的星型或树型网络结构。在这方面，集线器所起的作用相当于多端口的中继器。其实，集线器实际上就是中继器的一种，其区别仅在于集线器能够提供更多的端口服务，所以集线器又叫多口中继器。

二、交换机与集线器的区别

现在，我们经常会存在这样一个技术误区，我们用的是交换机，数据全部是点对点转发的，为什么还会产生广播风暴呢？我们在充分了解了交换机与集线器的功能区别后，就会明白，使用交换机作为网络设备的网络，为什么会出现广播风暴。

1、交换机与集线器的本质区别：用集线器组成的网络称为共享式网络，而用交换机组成的网络称为交换式网络。 共享式以太网存在的主要问题是所有用户共享带宽，每个用户的实际可用带宽随网络用户数的增加而递减。这是因为当信息繁忙时，多个用户可能同拾争用”一个信道，而一个信道在某一时刻只允许一个用户占用，所以大量的用户经常处于监测等待状态，致使信号传输时产生抖动、停滞或失真，严重影响了网络的性能。

2、在交换式以太网中，交换机提供给每个用户专用的信息通道，除非两个源端口企图同时将信息发往同一个目的端口，否则多个源端口与目的端口之间可同时进行通信而不会发生冲突。通过实验测得，在多服务器组成的LAN 中，处于半双工模式下的交换式以太网的实际最大传输速度是共享式网络的1.7倍，而工作在全双工状态下的交换式以太网的实际最大传输速度可达到共享式网络的3.8倍。 交换机只是在工作方式上与集线器不同，其他的如连接方式、速度选择等与集线器基本相同，目前的交换机同样从速度上分为10M、100M和1000M几种，所提供的端口数多为8口、16口和24口几种。交换机在局域网中主要用于连接工作站、Hub、服务器或用于分散式主干网。

三、产生广播风暴的原因

通过对以上网络设备的了解，我们就可以简单分析出来，网络产生广播风暴的原因了。一般情况下，产生网络广播风暴的原因，主要有以下几种：

1、网络设备原因：我们经常会有这样一个误区，交换机是点对点转发，不会产生广播风暴。在我们购买网络设置时，购买的交换机，通常是智能型的Hub，却被奸商当做交换机来卖。这样，在网络稍微繁忙的时候，肯定会产生广播风暴了。

2、网卡损坏：如果网络机器的网卡损坏，也同样会产生广播风暴。损坏的网卡，不停向交换机发送大量的数据包，产生了大量无用的数据包，产生了广播风暴。由于网卡物理损坏引起的广播风暴，故障比较难排除，由于损坏的网卡一般还能上网，我们一般借用Sniffer局域网管理软件，查看网络数据流量，来判断故障点的位置。

3、网络环路：曾经在一次的网络故障排除中，发现一个很可笑的错误，一条双绞线，两端插在同一个交换机的不同端口上，导致了网络性能骤下降，打开网页都非常困难。这种故障，就是典型的网络环路。网络环路的产生，一般是由于一条物理网络线路的两端，同时接在了一台网络设备中。

4、网络病毒：目前，一些比较流行的网络病毒，Funlove、震荡波、RPC等病毒，一旦有机器中毒后，会立即通过网络进行传播。网络病毒的传播，就会损耗大量的网络带宽，引起网络堵塞，引起广播风暴。

5、黑客软件的使用：目前，一些上网者，经常利用网络执法官、网络剪刀手等黑客软件，对网吧的内部网络进行攻击，由于这些软件的使用，网络也可能会引起广播风暴。

要想做到对故障的快速判断，良好扎实的基础知识，是不可缺少的。因此在日后的学习中，不要忽略了对基础知识的学习！

bo*s%!/ bo*s%!/ bo*s%!/ bo*s%!/ bo*s%!/ bo*s%!/

当网络上的设备越来越多，广播所占用的时间也会越来越多，多到一定程度时，就会对网络上的正常信息传递产生影响，轻则造成传送信息延时，重则造成网络设备从网络上断开，甚至造成整个网络的堵塞、瘫痪，这就是广播风暴。 我们应该定期清理,和删除不用的软件,这样可以保证电脑通畅

如果你没有组播应用，很简单！禁止fw启用组播功能。
239.255.255.250是组播，不是广播。

IP spoofing
你找到的1.89也许是无辜的。spoofing 才是重点，log里也许还有其他的蛛丝马迹，找找吧，把真凶挖出来。