天下网吧 >> 网吧天地 >> 网吧技术 >> 网吧网络 >> 正文

掌握排错技巧 路由劫持案例分析

59712">
  与路由相关的故障,往往会造成大片或者全局性的网络瘫痪,管理员们对此也是避之不及的。笔者做网络支持多年,接触过太多这样的案例。下面和大家分享一个路由劫持案例,进而进行拓展谈谈类似路由故障的排错思路和技巧。

  一、案例再现——路由器被劫持了!

  1、故障描述

  某公司的内网是在三层交换处划分的VLAN,最后通过路由器与远程连接,网内有近二百台主机。前段时间网络出现了这样一个故障:公司网络网速缓慢,且出现延迟现象,登录服务器很久都没有响应,时常提示超时。当初判断是网络中有异常数据流,因为网络中的交换机和路由器灯长明、狂闪。

  2、定位中毒客户端

  最初以为公司网络部署不严密或者在网络中存在ARP欺骗,ARP风暴吞噬了网络带宽,影响了网络速度。鉴于接入网络机器太多,手动全部查找很麻烦,决定借助分析软件来查。将安装软件的笔记本接入到中心交换机端口,经过一个小时,根据软件得到的数据分析,感觉是感染了蠕虫病毒,是些病毒在网络中感染了其他机器,产生了数据风暴,使网络性能下降。

  根据软件“诊断视图” 中显示的连接尝试,发现有一台IP为172.16.56.7的主机不正常。进行定位分析后,判断此主机可能感染了蠕虫病毒,且该病毒正在试图感染其他主机。病毒自动通过网络与其他主机的TCP 445端口建立连接,试图感染其他主机,严重消耗了网络资源,造成网络性能下降,严重时会使整个网络瘫痪。于是对此主机进行了隔离,病毒查杀后,重新接入网络。

  3、故障重现

  本以为问题得到解决,可第二天又出现了以前的情况,只是没有以前大面积长时间断

  网或停滞,还是有规律地发生网络拥堵,网速缓慢。再次用分析软件进行抓包分析,通过分析发现大流量的数据是从外网通过路由器转发到一个MAC地址为00-A0-D1-E5-17-05的主机上,这个数据占了外网流入量的80%以上。通过档案资料查到了此主机为一台服务器,主要用来实现内部文件共享的文件服务器。通过对此服务器进行检查,结果发现此服务器配置成了代理服务器,怀疑被人入侵了。

  那么为什么配成代理服务器呢?是不是路由器也被入侵了?登录路由器,发现路由器

  设置了端口转发,许多端口转发都转到了这台文件服务器上。现在原因已经很清楚了,有人入侵了此文件服务器,并将它设置成了代理服务器,然后控制了路由器,在路由器上设置了端口转发,把外网数据转到服务器上,最后在自己的机器上设置代理上网,通过P2P软

  件大量下载造成网络拥堵。因为公司规定除个别机器可以上网外,绝大部分机器不能接入

  Internet网,所以通过路由器进行了限制。由于公司路由器采用的是默认用户名,只是简单地设置了密码,这样路由器就被控制了。

  4、故障彻底解决

  运行网络分析软件,首先取消了文件服务器的文件共享,设置网络监控软件,很快获得了大量数据。根据几个可疑MAC及所存的档案,很快找到了相应的主机。然后恢复文件服务器共享功能,取消代理服务器设置,重新设置路由器密码。至此问题彻底解决。


本文来源:IT专家网/黑眼睛 作者:IT专家网/黑眼睛

声明
声明:本站所发表的文章、评论及图片仅代表作者本人观点,与本站立场无关。文章是出于传递更多信息之目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。 Email:support@txwb.com,系统开号,技术支持,服务联系微信:_WX_1_本站所有有注明来源为天下网吧或天下网吧论坛的原创作品,各位转载时请注明来源链接!
天下网吧·网吧天下
  • 本周热门
  • 本月热门
  • 阅读排行