什么是网络丢包,如何处理?

2024年3月30日发(作者：)

什么是网络丢包，如何处理？

1 什么是网络丢包

网络丢包是在使用Ping对目的站进行询问时，数据包由于

各种原因在信道中丢失的现象。Ping命令使用了ICMP回送请求

与回送回答报文。ICMP回送请求报文是主机或路由器向一个特

定的目的主机发出的询问，收到此报文的机器必须给源主机发

送ICMP回送回答报文。这种询问报文，是用来测试目的站是否

可到达以及了解其状态。需要指出的是，Ping命令是直接使用

网络层ICMP协议的一个例子，它没有通过运输层的UDP或TCP

协议。网络丢包是网络中常见的故障之一，它会引起网速降低

甚至造成网络中断。发生网络故障在所难免，但是如何快速隔

离和排除故障是网络工程师应该具备的基本素质。

2 常见的丢包故障现象+处理方法

1）网络数据包发送时通时断，丢包严重

【故障现象】

通常故障发生时，该方向网络出现震荡性中断。使用Ping

命令测试，发现在一段时间内数据包发送延时比正常值略高，

间隔一小段时间数据包又全部丢失，丢包率超过60%，丢包曲线

成规则状，网络服务基本不可用。

【故障分析】

在局域网中引起网络发生振荡性时断时通，一般可能是由于互

连的交换机中的某两个交换机间出现了环路，或者某个交换机

的两个端口直接相连。这样就会造成局域网的生成树协议构建

失败，不断重复检查并试图构建新的生成树网络，从而导致网

络振荡性通断。同时，伴随着交换机间不断重复地发送广播包，

就会形成“广播风暴”，使交换机负担过重，网络传输通道严

重被堵塞，无法正常的处理通信数据。环路虽然可能出现在某

个接入交换机上，但会影响整个以三层交换机为核心的局域网

的稳定运行。

【故障处理】

当发现网络数据包发送时通时断，丢包严重，特别是整个单位

或整个楼层出现振荡性中断现象时，则可以判定应该是该单位

的某个交换机上出现了环路所致。作为网络管理人员应首先查

看各接入交换机的指示灯闪烁状态，通常出现环路状况会指示

灯会急速闪烁，次数每秒4次以上，所环交换机更为突出。逐

个拨出交换机级联接入网线，同时实时监控交换机状态，在拨

下某端口网线后，交换机指示灯恢复正常状态，再进一步查找，

会发现该连接线的末端有线路形成环路，清理该网线后，网络

恢复畅通。

2）网络数据包发送超时现象严重，时有不规则丢包

【故障现象】

网络突然出现严重堵塞，日常办公程序不能正常运行，打开网

页速度缓慢，有时会因超时而中断。未发现网络设备有任何问

题，该网络中有几台计算机在入网后速度明显变慢，在禁用网

卡或者中断网络后恢复正常。

【故障分析】

首先，在一台用户终端上ping网关测试，结果可以ping

通网关，但是数据包发送超时现象严重，丢包率30%左右，丢包

不规律。

其次，登陆用户交换机，运行arp -a命令，发现网关IP和网

关MAC地址指向正确。

通过上面的测试基本排除网络设置错误以及ARP欺骗，丢

包表现了一定的随机性而没有连续性和振荡性的通断，基本排

除网络环路问题，初步判断这种现象可能是病毒攻击等引起的。

为此，需要进一步获取ARP信息、网络中传输的原始数据包等

信息。再次，部署抓包分析。在该交换机上配置镜像端口，并

将维护终端接到此端口上，启动网络协议分析工具（sniffer）

捕获分析网络的数据通信，约10分钟后停止。在网络分析系统

主界面左边的节点浏览器中发现，网络中可能存在伪造IP地址

攻击或自动扫描攻击。选择连接视图，发现在10分钟内，网络

中共发起了12000多个连接，且状态大多都是客户端请求同步。

据此，断定网络中存在自动扫描攻击。

最后，详细查看连接信息，发现这些连接大多都是由同一

主机发起，选中任意一个连接，选择数据包视图，查看传输数

据的原始解码信息，发现这台计算机正在主动对网络中其它主

机的TCP 445端口进行扫描攻击，可能是主机感染病毒程序，

或者有人正使用扫描软件。通过分析图表视图，进一步确定主

机肯定存在自动扫描攻击。