Network Loop anhand eines Captures erkennen

Network Loops eine unangenehme Sache und können selbst hochperformante Switche in die Knie zwingen. 

Ich habe kürzlich ein Wireshark Capture von einem Loop auf einem 10Gig Link erhalten. Die kleinste Zeiteinheit die man auf der Snifferappliance des Kunden fürs Capturen einstellen Konnte, war 2 Minuten, das ergab ein Capturefile von 2.7Gig!

Anhand des Zeitstempels von Wireshark sieht man deutlich, wie massiv der Traffic auf dem Link war, die Abstände zwischen den einzelnen Frames bewegen sich im Sub- Nanosekunden Bereich!

Doch woran erkennt man das Frames bzw. Pakete im Netzwerk Loopen?

Schauen wir uns den Aufbau eines IPv4 Paketes an, hier gibt es ein interessantes Feld:

Identification
16 Bit breit. Dieses und die beiden folgenden Felder Flags und Fragment Offset steuern die Reassembly (Zusammensetzen von zuvor fragmentierten IP-Datenpaketen). Eindeutige Kennung eines Datagramms. Anhand dieses Feldes und der ‘Source Address’ kann der Empfänger die Zusammengehörigkeit von Fragmenten detektieren und sie wieder reassemblieren.

In den nachfolgenden zwei Screenshots des Captures sieht man deutlich, dass Frame 58 und 77 die gleiche ID besitzen:

Es stellte sich heraus, dass insgesamt nur 19 Frames loopen. Der Zeitabstand zwischen den Frames beträgt 0.000007 Sek, WOW! 

 

Samuel Heinrich
Senior Network Engineer at Alpiq Intec (Basel, Switzerland)
Arbeitet in Raum Basel (Switzerland) als Senior Network Engineer mit über 10 Jahren Erfahrung im Bereich Netzwerk und Telekommunikation.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.