萬盛學電腦網

 萬盛學電腦網 >> 服務器教程 >> 如何解救被劫持的路由器

如何解救被劫持的路由器

   一、案例再現——路由器被劫持了!

  1、故障描述

  某公司的內網是在三層交換處劃分的VLAN,最後通過路由器與遠程連接,網內有近二百台主機。前段時間網絡出現了這樣一個故障:公司網絡網速緩慢,且出現 延遲現象,登錄服務器很久都沒有響應,時常提示超時。當初判斷是網絡中有異常數據流,因為網絡中的交換機和路由器燈長明、狂閃xp系統下載。

  2、定位中毒客戶端

  最初以為公司網絡部署不嚴密或者在網絡中存在ARP欺騙,ARP風暴吞噬了網絡帶寬,影響了網絡速度。鑒於接入網絡機器太多,手動全部查找很麻煩,決定借 助分析軟件來查。將安裝軟件的筆記本接入到中心交換機端口,經過一個小時,根據軟件得到的數據分析,感覺是感染了蠕蟲病毒,是些病毒在網絡中感染了其他機 器,產生了數據風暴,使網絡性能下降。

  根據軟件“診斷視圖” 中顯示的連接嘗試,發現有一台IP為172.16.56.7的主機不正常。進行定位分析後,判斷此主機可能感染了蠕蟲病毒,且該病毒正在試圖感染其他主 機。病毒自動通過網絡與其他主機的TCP 445端口建立連接,試圖感染其他主機,嚴重消耗了網絡資源,造成網絡性能下降,嚴重時會使整個網絡癱瘓。於是對此主機進行了隔離,病毒查殺後,重新接入 網絡。

  3、故障重現

  本以為問題得到解決,可第二天又出現了以前的情況,只是沒有以前大面積長時間斷

  網或停滯,還是有規律地發生網絡擁堵,網速緩慢。再次用分析軟件進行抓包分析,通過分析發現大流量的數據是從外網通過路由器轉發到一個MAC地址為00- A0-D1-E5-17-05的主機上,這個數據占了外網流入量的80%以上。通過檔案資料查到了此主機為一台服務器,主要用來實現內部文件共享的文件服 務器。通過對此服務器進行檢查,結果發現此服務器配置成了代理服務器,懷疑被人入侵了。

  那麼為什麼配成代理服務器呢?是不是路由器也被入侵了?登錄路由器,發現路由器設置了端口轉發,許多端口轉發都轉到了這台文件服務器上。現在原因已經很清楚了,有人入侵了此文件服務器,並將它設置成了代理服務器,然後控制了路由器,在路由器上設置了端口轉發,把外網數據轉到服務器上,最後在自己的機器上設置代理上網,通過P2P軟件大量下載造成網絡擁堵系統下載。因為公司規定除個別機器可以上網外,絕大部分機器不能接入Internet網,所以通過路由器進行了限制。由於公司路由器采用的是默認用戶名,只是簡單地設置了密碼,這樣路由器就被控制了。

  4、故障徹底解決

  運行網絡分析軟件,首先取消了文件服務器的文件共享,設置網絡監控軟件,很快獲得了大量數據。根據幾個可疑MAC及所存的檔案,很快找到了相應的主機。然後恢復文件服務器共享功能,取消代理服務器設置,重新設置路由器密碼。至此問題徹底解決。

  二、深入拓展——如何解救被劫持的路由?

  也許,上面的案例比較特殊。其實,網絡運維中類似的案例還是比較多的,其原因也是非常復雜的。下面談談造成類似故障的排錯思路和排錯流程。

  1、排錯思路

  (1).上層交換機或者電信核心交換機出現了故障。如果是這種原因,公司網絡內部仍然是暢通的,路由器和交換機設備處於工作正常狀態。這種情況也是時有發 生的,比如筆者本地的電信路由就曾因遭到攻擊而癱瘓。對此,公司管理員是無能為力的,只能等待電信部門盡快恢復了。

  (2).公司內部用戶在使用Emule、BT等下載軟件在下載資料。員工使用Emule和BT等下載軟件下載資料時,會占用公司大量帶寬,公司網絡本身就 有一定負載,因此極有可能造成其他用戶不能訪問網絡,打開網頁出現超時等現象。如果是因為這個原因,則可以在入口處通過技術手段禁用這些下載軟件即可。

  (3).路由器以及交換機在長期運行後,支持軟件對內存的消耗超過了設備本身的臨界值而超負荷運行,也會導致網絡速度變慢。出現這種現象,分別重啟交換機、路由器以及防火牆等設備即可。

  (4).帶寬滿足不了公司要求,建議增加公司帶寬。網速與公司所申請的帶寬、電路類型、局域網設備性能及參數設置、網絡內電腦的數量等諸多因素有關系,而在公司接入電路後,只能是去測試實際帶寬是否能夠達到所申請的帶寬。這裡提供一個簡單的帶寬測試方法:通過在網上下載一些比較大的文件,觀察下載的流量是否能達到或接近所申請的速率(為申請速率的75%以上)。

  我們可以在接入電路上接一台PC,以便測試的結果更加接近實際效果。下載越大的文件所需的時間也就越長,所反映出來的效果就越准確。下載所顯示的速率單位 一般為字節,而電路申請的速率為比特,所以在確認測試結果的時候要注意單位的換算。若下載所顯示的速率與申請的帶寬有較大差距,則有可能是電腦的性能因素 造成的,也有可能是接入電路的因素造成的,此時可向電信公司申告故障。若測試正常,而在局域網內下載又非常慢,那就應該查一下局域網內的配置了。局域網內 電腦的數量應與所需申請的帶寬成正比。

  2、排錯流程

  針對上述故障點,建議采取以下流程來解決故障問題。

  (1).檢查網絡連通情況。先對公司內部網絡進行聯通測試,主要對網關、路由器及交換機進行聯通測試。然後對上層交換機和外網IP地址進行測試,如果一切正常則轉入下一步操作,否則進行設備檢查。

  (2).如果公司網絡出口處使用了防火牆或者監控軟件,可以通過防火牆或者監控軟件來查看網絡連接。網絡出現速度緩慢,一般是因為某台或者數台計算機大量 占用帶寬造成,也有可能是由於網絡風暴造成的。防火牆管理軟件可以很方便地發現大量發包的計算機IP以及端口等信息。找到這些計算機後,切斷故障源頭,再 查看網絡使用情況,如果正常,則解決故障源頭計算機則可雨林木風xp系統下載。

  (3).采取補救措施。對存在問題的計算機進行殺毒等安全檢查,確保計算機運行正常後才再接入網絡。有條件的話,可以對Emule、BT等軟件做分時下載限制或者禁用。

copyright © 萬盛學電腦網 all rights reserved