如何解救被劫持的路由器

 　　一、案例再現——路由器被劫持了!

　　1、故障描述

　　某公司的內網是在三層交換處劃分的VLAN，最後通過路由器與遠程連接，網內有近二百台主機。前段時間網絡出現了這樣一個故障：公司網絡網速緩慢，且出現 延遲現象，登錄服務器很久都沒有響應，時常提示超時。當初判斷是網絡中有異常數據流，因為網絡中的交換機和路由器燈長明、狂閃xp系統下載。

　　2、定位中毒客戶端

　　最初以為公司網絡部署不嚴密或者在網絡中存在ARP欺騙，ARP風暴吞噬了網絡帶寬，影響了網絡速度。鑒於接入網絡機器太多，手動全部查找很麻煩，決定借 助分析軟件來查。將安裝軟件的筆記本接入到中心交換機端口，經過一個小時，根據軟件得到的數據分析，感覺是感染了蠕蟲病毒，是些病毒在網絡中感染了其他機 器，產生了數據風暴，使網絡性能下降。

　　根據軟件“診斷視圖” 中顯示的連接嘗試，發現有一台IP為172.16.56.7的主機不正常。進行定位分析後，判斷此主機可能感染了蠕蟲病毒，且該病毒正在試圖感染其他主 機。病毒自動通過網絡與其他主機的TCP 445端口建立連接，試圖感染其他主機，嚴重消耗了網絡資源，造成網絡性能下降，嚴重時會使整個網絡癱瘓。於是對此主機進行了隔離，病毒查殺後，重新接入 網絡。

　　3、故障重現

　　本以為問題得到解決，可第二天又出現了以前的情況，只是沒有以前大面積長時間斷

　　網或停滯，還是有規律地發生網絡擁堵，網速緩慢。再次用分析軟件進行抓包分析，通過分析發現大流量的數據是從外網通過路由器轉發到一個MAC地址為00- A0-D1-E5-17-05的主機上，這個數據占了外網流入量的80%以上。通過檔案資料查到了此主機為一台服務器，主要用來實現內部文件共享的文件服 務器。通過對此服務器進行檢查，結果發現此服務器配置成了代理服務器，懷疑被人入侵了。

　　那麼為什麼配成代理服務器呢?是不是路由器也被入侵了?登錄路由器，發現路由器設置了端口轉發，許多端口轉發都轉到了這台文件服務器上。現在原因已經很清楚了，有人入侵了此文件服務器，並將它設置成了代理服務器，然後控制了路由器，在路由器上設置了端口轉發，把外網數據轉到服務器上，最後在自己的機器上設置代理上網，通過P2P軟件大量下載造成網絡擁堵系統下載。因為公司規定除個別機器可以上網外，絕大部分機器不能接入Internet網，所以通過路由器進行了限制。由於公司路由器采用的是默認用戶名，只是簡單地設置了密碼，這樣路由器就被控制了。

　　4、故障徹底解決

　　運行網絡分析軟件，首先取消了文件服務器的文件共享，設置網絡監控軟件，很快獲得了大量數據。根據幾個可疑MAC及所存的檔案，很快找到了相應的主機。然後恢復文件服務器共享功能，取消代理服務器設置，重新設置路由器密碼。至此問題徹底解決。

　　二、深入拓展——如何解救被劫持的路由?

　　也許，上面的案例比較特殊。其實，網絡運維中類似的案例還是比較多的，其原因也是非常復雜的。下面談談造成類似故障的排錯思路和排錯流程。

　　1、排錯思路

　　(1).上層交換機或者電信核心交換機出現了故障。如果是這種原因，公司網絡內部仍然是暢通的，路由器和交換機設備處於工作正常狀態。這種情況也是時有發 生的，比如筆者本地的電信路由就曾因遭到攻擊而癱瘓。對此，公司管理員是無能為力的，只能等待電信部門盡快恢復了。

　　(2).公司內部用戶在使用Emule、BT等下載軟件在下載資料。員工使用Emule和BT等下載軟件下載資料時，會占用公司大量帶寬，公司網絡本身就 有一定負載，因此極有可能造成其他用戶不能訪問網絡，打開網頁出現超時等現象。如果是因為這個原因，則可以在入口處通過技術手段禁用這些下載軟件即可。

　　(3).路由器以及交換機在長期運行後，支持軟件對內存的消耗超過了設備本身的臨界值而超負荷運行，也會導致網絡速度變慢。出現這種現象，分別重啟交換機、路由器以及防火牆等設備即可。

　　(4).帶寬滿足不了公司要求，建議增加公司帶寬。網速與公司所申請的帶寬、電路類型、局域網設備性能及參數設置、網絡內電腦的數量等諸多因素有關系，而在公司接入電路後，只能是去測試實際帶寬是否能夠達到所申請的帶寬。這裡提供一個簡單的帶寬測試方法：通過在網上下載一些比較大的文件，觀察下載的流量是否能達到或接近所申請的速率(為申請速率的75%以上)。

　　我們可以在接入電路上接一台PC，以便測試的結果更加接近實際效果。下載越大的文件所需的時間也就越長，所反映出來的效果就越准確。下載所顯示的速率單位 一般為字節，而電路申請的速率為比特，所以在確認測試結果的時候要注意單位的換算。若下載所顯示的速率與申請的帶寬有較大差距，則有可能是電腦的性能因素 造成的，也有可能是接入電路的因素造成的，此時可向電信公司申告故障。若測試正常，而在局域網內下載又非常慢，那就應該查一下局域網內的配置了。局域網內 電腦的數量應與所需申請的帶寬成正比。

　　2、排錯流程

　　針對上述故障點，建議采取以下流程來解決故障問題。

　　(1).檢查網絡連通情況。先對公司內部網絡進行聯通測試，主要對網關、路由器及交換機進行聯通測試。然後對上層交換機和外網IP地址進行測試，如果一切正常則轉入下一步操作，否則進行設備檢查。

　　(2).如果公司網絡出口處使用了防火牆或者監控軟件，可以通過防火牆或者監控軟件來查看網絡連接。網絡出現速度緩慢，一般是因為某台或者數台計算機大量 占用帶寬造成，也有可能是由於網絡風暴造成的。防火牆管理軟件可以很方便地發現大量發包的計算機IP以及端口等信息。找到這些計算機後，切斷故障源頭，再 查看網絡使用情況，如果正常，則解決故障源頭計算機則可雨林木風xp系統下載。

　　(3).采取補救措施。對存在問題的計算機進行殺毒等安全檢查，確保計算機運行正常後才再接入網絡。有條件的話，可以對Emule、BT等軟件做分時下載限制或者禁用。