网吧行业竞争的加剧，出现了一些规模比较大的网吧。目前在网吧行业内，百台以上的网吧已经随处可见了。由于网吧在进行网络建设时，缺乏专业的网络技术支持，使得网吧的网络故障频繁出现。在网吧的网络故障中，由于网络广播风暴引起的网络故障，占网吧网络故障的九成以上。网络广播风暴到底是如何形成的呢？

　　要想正确理解广播风暴的具体含义，我们必须了解一下工作在网络中的网络设备的工作原理。目前，工作在网吧网络中的网络设备，基本上都是交换机了。对于交换机，大家并没有真正的了解其工作原理。

　　一、交换机基础知识

　　1. 交换机的定义：交换机是一种基于Mac（网卡的硬件地址）识别，能完成封装转发数据包功能的网络设备。交换机可以“学习MAC地址，并把其存放在内部地址表中，通过在数据帧的始发者和目标接收者之间建立临时的交换路径，使数据帧直接由源地址到达目的地址。

　　现在，交换机已经替代了我们原来比较熟悉的网络设备集线器，又称Hub。但是这并不意味着，我们不需要了解Hub的基本知识。

　　2. 集线器的定义：集线器（HUB）属于数据通信系统中的基础设备，它和双绞线等传输介质一样，是一种不需任何软件支持或只需很少管理软件管理的硬件设备。它被广泛应用到各种场合。集线器工作在局域网(LAN)环境，像网卡一样，应用于OSI参考模型第一层，因此又被称为物理层设备。集线器内部采用了电器互联，当维护LAN的环境是逻辑总线或环型结构时，完全可以用集线器建立一个物理上的星型或树型网络结构。在这方面，集线器所起的作用相当于多端口的中继器。其实，集线器实际上就是中继器的一种，其区别仅在于集线器能够提供更多的端口服务，所以集线器又叫多口中继器。

　　二、交换机与集线器的区别

　　现在，我们经常会存在这样一个技术误区，我们用的是交换机，数据全部是点对点转发的，为什么还会产生广播风暴呢？我们在充分了解了交换机与集线器的功能区别后，就会明白，使用交换机作为网络设备的网络，为什么会出现广播风暴。

　　1. 交换机与集线器的本质区别：用集线器组成的网络称为共享式网络，而用交换机组成的网络称为交换式网络。 共享式以太网存在的主要问题是所有用户共享带宽，每个用户的实际可用带宽随网络用户数的增加而递减。这是因为当信息繁忙时，多个用户可能同时“争用一个信道，而一个信道在某一时刻只允许一个用户占用，所以大量的用户经常处于监测等待状态，致使信号传输时产生抖动、停滞或失真，严重影响了网络的性能。

　　2. 在交换式以太网中，交换机提供给每个用户专用的信息通道，除非两个源端口企图同时将信息发往同一个目的端口，否则多个源端口与目的端口之间可同时进行通信而不会发生冲突。通过实验测得，在多服务器组成的LAN　中，处于半双工模式下的交换式以太网的实际最大传输速度是共享式网络的1.7倍，而工作在全双工状态下的交换式以太网的实际最大传输速度可达到共享式网络的3.8倍。 交换机只是在工作方式上与集线器不同，其他的如连接方式、速度选择等与集线器基本相同，目前的交换机同样从速度上分为10M、100M和1000M几种，所提供的端口数多为8口、16口和24口几种。交换机在局域网中主要用于连接工作站、Hub、服务器或用于分散式主干网。

　　三、产生广播风暴的原因

　　通过对以上网络设备的了解，我们就可以简单分析出来，网络产生广播风暴的原因了。一般情况下，产生网络广播风暴的原因，主要有以下几种：

　　1. 网络设备原因：我们经常会有这样一个误区，交换机是点对点转发，不会产生广播风暴。在我们购买网络设置时，购买的交换机，通常是智能型的Hub，却被奸商当做交换机来卖。这样，在网络稍微繁忙的时候，肯定会产生广播风暴了。

　　2. 网卡损坏：如果网络机器的网卡损坏，也同样会产生广播风暴。损坏的网卡，不停向交换机发送大量的数据包，产生了大量无用的数据包，产生了广播风暴。由于网卡物理损坏引起的广播风暴，故障比较难排除，由于损坏的网卡一般还能上网，我们一般借用Sniffer局域网管理软件，查看网络数据流量，来判断故障点的位置。

　　3. 网络环路：曾经在一次的网络故障排除中，发现一个很可笑的错误，一条双绞线，两端插在同一个交换机的不同端口上，导致了网络性能急骤下降，打开网页都非常困难。这种故障，就是典型的网络环路。网络环路的产生，一般是由于一条物理网络线路的两端，同时接在了一台网络设备中。

　　4. 网络病毒：目前，一些比较流行的网络病毒，Funlove、震荡波、RPC等病毒，一旦有机器中毒后，会立即通过网络进行传播。网络病毒的传播，就会损耗大量的网络带宽，引起网络堵塞，引起广播风暴。

　　5. 黑客软件的使用：目前，一些上网者，经常利用网络执法官、网络剪刀手等黑客软件，对网吧的内部网络进行攻击，由于这些软件的使用，网络也可能会引起广播风暴。

　　要想做到对故障的快速判断，良好扎实的基础知识，是不可缺少的。因此大家在日后的学习中，不要忽略了对基础知识的学习！

　　作者：kings

【赛迪网-IT技术报道】Win32.PSWTroj.OnLineGames.xn.108627是一个盗号木马程序。它利用键盘记录的方法，记录下用户输入的全部信息，进行加密后发送给病毒作者。

病毒名称(中文)：键盘记录员108627

威胁级别：★★☆☆☆

病毒类型：偷密码的木马

病毒长度：108627

影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为：

这个病毒是一个盗号木马程序。它利用键盘记录的方法，记录下用户输入的全部信息，进行加密后发送给病毒作者。病毒作者通过一定技术手段，就可以从这些信息中筛选出用户的各类账号和密码。

1.程序运行后，生成文件

%system32%/mmvo.exe%system32%/mmvo0.dll

%Temp%/snj4.dll 这个文件名是随机的

2.在注册表中添加了注册项，如下：

[HKEY_LOCAL_MacHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run]"mmva"="%system32%/mmvo.exe"

3.木马会自动删除原文件本身；

4.木马可以修改SSDT(系统服务调度表)，从而躲过各种杀毒软件查杀的目的；木马将mmvo0.dll注入到explorer进程中，把病毒文件属性设置为系统隐藏加只读，并且监视注册表的修改，把CheckedValue改成0，让用户无法显示隐藏文件，监视用户的鼠标，键盘操作，从而获得用户的游戏账号和密码信息，成功获取信息之后，病毒便将信息加密后以邮件的形式通过SMTP和网页收信空间发送给木马作者。

(责任编辑：李磊)

　　作者：king

【赛迪网-IT技术报道】Win32.Troj.DownLoaderT.dl.69632是一个木马下载器程序。它进入用户系统后会注入到桌面进程explorer.exe 和 登录管理器进程winlogon.exe中，执行秘密下载。

病毒名称(中文)：武装下载器69632

威胁级别：★★☆☆☆

病毒类型：木马下载器

病毒长度：69632

影响系统：Win9x WinMe WinNT Win2000 WinXP Win2003

病毒行为：

这是一个木马下载器程序。它进入用户系统后会注入到桌面进程explorer.exe和登录管理器进程winlogon.exe中，执行秘密下载。同时，该木马会试图关闭系统自带的错误报告系统和部分杀毒软件，防止用户对它进行查杀。

1.关闭系统错误报告服务(ERSvc)：

修改HKEY_LOCAL_MacHINE/SOFTWARE/Microsoft/PCHealth/ErrorReporting的DoReport、ShowUI、ReportBootOk，键为0。

2.修改注册表项，隐藏文件

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/SHOWALL

键值："CheckedValue"=dWord:00000000。　　　　

3.修改日期：

修改系统日期为2005年。

4.创建c:/autorun.inf 文件。

[AutoRun]open=auto.exeshellexecute=auto.exeshell/Auto/command=auto.exe

5.修改注册表、新建服务，并以服务的方式达到随机启动的目的：