背景介紹

某酒店網絡使用聯通800M專線，晚上客戶入住后出現流量拉滿，客人反饋網絡卡頓無法使用，路由器看到CPU一直90%的異常問題。

酒店IT查看了路由接口速率，發現上行已經被跑滿了：

這是什么？這不是經典的PCDN嗎？有人在用酒店網絡刷錢？？？

網絡拓撲

典型的三層網絡如下：

排查分析

第一步：確認整體流量來源

通過查看路由器接口實時速率統計，發現GE1寬帶口的上行基本打滿，且數據的來源都是來自內網核心三層交換機。

第二步：明確異常終端

打開路由器的IP流量統計功能，查看內網終端發送大量流量的IP地址是哪些，發包流量平均30-60Mbps，發包速率2000-6000PPS。

第三步：抓包確認該終端行為

持續抓取核心上來傳給路由器的報文：

從報文分析發現不同的設備持續向外網一些公網IP發送UDP包，且這個包的字節都是1300以上的數據，和路由器的統計數據吻合。

最終找到這些設備是電視盒子：

原理及解決方案

問題原因：內網一堆電視盒子瘋狂跑上行流，發包速率高達6000pps（每秒6000個）。沖死了路由的CPU和帶寬。

解決方案：

• 路由器對這些IP做限速；
• 交換機對這些IP做限速；

本質解決辦法是由電視廠家更新系統解決電視瘋狂發包的行為。