Broadcast-Sturm

Ein Broadcast-Sturm ist die starke Anhäufung von Broadcast- und Multicast-Verkehr in einem Rechnernetz.

Im Endstadium eines Broadcast-Sturms können keine neuen Netzwerkverbindungen mehr aufgebaut werden und bestehende Verbindungen werden möglicherweise unterbrochen.

Besonders in großen Broadcast-Domänen kann sich durch verschiedene Ursachen bei einem Broadcast-Sturm die Netzwerk-Verzögerungszeit durch schneeballartige Kettenreaktionen dramatisch erhöhen.

Ursachen

Die häufigste Ursache ist die redundante Verkabelung mit zwei oder mehr Uplinks zwischen zwei Switches. In einem solchen Fall werden Broadcasts und Multicasts auf alle Ports weitergeleitet mit Ausnahme des Ports, von dem der Verkehr kam. Dadurch wird eine Schleife erzeugt und die Switches leiten die Broadcasts des jeweils anderen Switches weiter.

Weiterhin gibt es Denial-of-Service-Angriffe wie die Smurf-Attacke oder die Fraggle-Attacke, die einen Broadcast-Sturm auslösen.

In manchen Fällen kann ein Broadcast-Sturm auch durch eine fehlerhafte Netzwerkkarte ausgelöst werden.

Gegenmaßnahmen

• Das Spanning Tree Protocol ist geeignet, Schleifen zwischen Switches sinnvoll zu verwalten. In Metropol-Netzwerken werden Broadcast-Stürme durch Ethernet Automatic Protection Switching (EAPS) verhindert.
• Filterung von Broadcasts durch Layer-3-Geräte, im Normalfall durch Router. Es gibt aber auch Switches, sog. BRouter, die diese Filterung vornehmen können.
• Physikalische Segmentierung einer Broadcast-Domäne durch Router oder Layer-3-Switches.
• Logische Segmentierung einer Broadcast-Domäne durch den Einsatz von VLANs.
• Router und Firewalls können so konfiguriert werden, dass sie bösartige oder überdurchschnittlich viele Broadcasts erkennen und blockieren.

Fehlinterpretationen

1. Eine weit verbreitete Fehlinterpretation ist, dass Routing-Schleifen etwas damit zu tun haben. Router, die auf Layer 3 des OSI-Modells arbeiten, leiten jedoch keine Layer-2-Broadcasts weiter, wie es Switches tun.
2. Eine weitere Falschaussage ist, dass Router keine Layer-3-Broadcasts weiterleiten können. Es gibt jedoch Routing-Protokolle, die Broadcasts zu anderen Netzwerken weiterleiten.
3. Ebenfalls ein Irrglaube ist, dass nur Router eine Broadcast-Domäne begrenzen und damit Broadcast-Stürme eingrenzen können. Wie aber bei den Gegenmaßnahmen erwähnt können dies auch Switches mit VLANs oder Layer-3-Funktionalitäten (welche aber immer noch einen Router zur Weiterleitung benötigen).
4. Weiterhin kann ein Broadcast nicht mit einem Broadcast beantwortet werden. Allerdings kann ein Broadcast dazu genutzt werden, um herauszufinden, wie auf einen empfangenen Broadcast geantwortet werden kann. In einer redundanten Topologie kann ein solcher zweiter Broadcast dasjenige Netzwerkinterface erreichen, welches den initialen Broadcast gesendet hat.

MANET-Broadcast-Stürme

In einem mobilen Ad-hoc-Netz (MANET) werden Pakete zur Anforderung von Routing-Informationen (RREQ) meist per Broadcast verschickt, um neue Routen zu finden. Diese RREQ-Pakete verursachen möglicherweise Broadcast-Stürme. Ein Ansatz, diese zu verringern, besteht darin, manche Hosts für erneute Broadcasts zu sperren.

Quellen

1. Appendix E: Broadcasts in Switched LAN Internetworks [1]
2. Defense Against the DoS/DDoS Attacks on Cisco Routers [2]
3. Disassociation Broadcast Attack Using ESSID Jack [3]
4. The Broadcast Storm Problem in a Mobile Ad Hoc Network [4]

Siehe auch

• Ethernet