a我考网

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 51|回复: 0

[综合] 思科辅导:路由劫持案例分析

[复制链接]
发表于 2012-8-3 20:03:30 | 显示全部楼层 |阅读模式
与路由相关的故障,往往会造成年夜片或者全局性的收集瘫痪,打点员们对此也是避之不及的。笔者做收集撑持多年,接触过太多这样的案例。下面和巨匠分享一个路由劫持案例,进而进行拓展谈谈近似路由故障的排错思绪和技巧。
3 y; E, k5 h& s7 X4 v  t  一、案例再现——路由器被劫持了!
1 T. ^2 p$ p6 G4 V# Y  1、故张缦汨述
0 A2 d; R; `; `0 b$ M4 Q, B0 Z* E  某公司的内网是在三层交流处划分的VLAN,最后经由过程路由器与远程毗连,网内有近二百台主机。前段时刻收集呈现了这样一个故障:公司收集网速迟缓,且呈现延迟现象,登录处事器良久都没有响应,时常提醒超时。当初判定是收集中有异常数据流,因为收集中的交流机和路由器灯长明、狂闪。
# S" e1 r' ~" w; v$ N5 g  2、定位中毒客户端
3 i+ m1 f6 t* Z# E3 `. q/ j  最初觉得公司收集部署不雅缦丬或者在收集中存在ARP棍骗,ARP风暴吞噬了收集带宽,影响了收集速度。鉴于接入收集机械太多,手动全数查找很麻烦,抉择借助剖析软件来查。将安装软件的标识表记标帜本接入到中心交流机端口,经由一个小时,按照软件获得的数据剖析,感受是传染了蠕虫病毒,是些病毒在收集中传染了其他机械,发生了数据风暴,使收集机能下降。
' x: a, U) |1 h& u  按照软件“诊断视图” 中显示的毗连考试考试,发现有一台IP为172.16.56.7的主机不正常。进行定位剖析后,判定此主机可能传染了蠕虫病毒,且该病毒正在试图传染其他主机。病毒自动经由过程收集与其他主机的TCP 445端口成立毗连,试图传染其他主机,严重耗损了收集资本,造成收集机能下降,严重时会使整个收集瘫痪。于是对此主机进行了隔离,病毒查杀后,年夜头接入收集。
7 ~/ B+ W. m, }6 K# E. p7 I. K- H8 k  3、故障重现
" c+ y! N  s3 c7 k+ I/ o  本觉得问题获得解决,可第二天又呈现了以前的情形,只是没有以前年夜面积长时刻断
" W( G' U1 q" K# n$ r, z  网或障碍,仍是有纪律地发生收集拥堵,网速迟缓。再次用剖析软件进行抓包剖析,经由过水平析发现年夜流量的数据是年夜外网经由过程路由器转发到一个MAC地址为00-A0-D1-E5-17-05的主机上,这个数据占了外网流入量的80%以上。经由过程档案资料查到了此主机为一台处事器,首要用来实现内部文件共享的文件处事器。经由过程对此处事器进行搜检,结不美观发现此处事器设置装备摆设成了代办代庖处事器,思疑被人入侵了。+ v/ K# f, b& Y8 |5 L
  那么为什么配成代办代庖处事器呢?是不是路由器也被入侵了?登录路由器,发现路由器设置了端口转发,良多端口转发都转到了这台文件处事器上。此刻原因已经很清嚣张了,有人入侵了此文件处事器,并将它设置成了代办代庖处事器,然后节制了路由器,在路由器上设置了端口转发,把外网数据转各处事器上,最后在自己的机械上设置代办代庖上网,经由过程P2P软件年夜量下载造成收集拥堵。因为公司划定除个体机械可以上网外,绝年夜部门机械不能接入
# v; j9 F& |. D) s  Internet网,所以经由过程路由器进行了限制。因为公司路由器采用的是默认用户名,只是简单地设置了密码,这样路由器就被节制了。9 A7 i- F) S6 ]4 [3 h/ g9 e
  4、故障彻调整决
: B- J  \2 X6 X  运行收集剖析软件,首先打消了文件处事器的文件共享,设置收集监控软件,很快获得了年夜量数据。按照几个可疑MAC及所存的档案,很快找到了响应的主机。然后恢复文件处事器共享功能,打消代办代庖处事器设置,年夜头设置路由器密码。至此问题彻调整决。
0 I  H) X1 T, A# H# V. J( m' [  二、深切拓展——若何解救被劫持的路由?
7 H  D; a, B8 m8 v7 H, {  也许,膳缦沔的案例斗劲非凡。其实,拓馇运维中近似的案例仍是斗劲多的,其原因也长短常复杂的。下面谈谈造成近似故障的排错思绪和排错流程。
' T/ r; o- ~8 `" L$ I  1、排错思绪' I3 u4 q5 g( q- Y$ Y
  (1).上层交流机或者电信焦点交流机呈现了故障。如不美观是这种原因,公司收集内部仍然是通顺的,路由器和交流机设备处于工作正常状况。这种情形也是时有发生的,好比笔者当地的电信路由就曾因遭到抨击袭击而瘫痪。对此,公司打点员是力所不及的,只能期待电信部门尽快恢复了。" j7 z# {* _5 a
  (2).公司内部用户在使用Emule、BT等下载软件不才载资料。员工使用Emule和BT等下载软件下载资料时,会占用公司年夜量带宽,公司收集自己就有必然负载,是以极有可能造成其他用户不能访谒收集,打开网页呈现超时等现象。如不美观是因为这个原因,则可以在进口处经由过程手艺手段禁用这些下载软件即可。
" g' m) F/ ]; R$ D  P. W" p- U1 X  (3).路由器以及交流机在持久运行后,撑持软件对内存的耗损跨越了设备自己的临界值而超负荷运行,也会导致收集速度变慢。呈现这种现象,分袂重启交流机、路由器以及防火墙等设备即可。$ z8 Z# r2 B: ^! X$ \
  (4).带宽知足不了公司要求,建议增添公司带宽。网速与公司所申请的带宽、电路类型、局域网设备机能及参数设置、收集内电脑的数目等诸多身分有关系,而在公司接入电路后,只能是去测试现实带宽是否能够达到所申请的带宽。这里供给一个简单的带宽测试体例:经由过程在网上下载一些斗劲年夜的文件,不雅察看下载的流量是否能达到或接近所申请的速度(为申请速度的75%以上)。+ o6 t) q" h4 E. d
  我们可以在接入电路上接一台PC,以便测试的结不美观加倍接近现实效不美观。下载越年夜的文件所需的时刻也就越长,所纺暌钩出来的效不美观就越切确。下载所显示的速度单元一般为字节,而电路申请的速度为比特,所以在确认测试结不美观的时辰要注重单元的换算。若下载所显示的速度与申请的带宽有较年夜差距,则有可能是电脑的机能身分造成的,也有可能是接入电路的身分造成的,此时可向电信公司申告故障。若测试正常,而在局域网内下载又很是慢,那就应该查一下局域网内的设置装备摆设了。局域网内电脑的数目应与所需申请的带宽成正比。) _- U3 t/ @! q: W0 j2 R2 \4 h6 K4 F: G
  2、排错流程
! u! b/ w2 Q  b0 c: ]0 l6 ?7 b1 m7 b7 V  针对上述故障点,建议采纳以下贱程来解决故障问题。
7 y( S2 p0 j0 Q; k4 s  (1).搜检收集连通情形。先对公司内部收集进行联通测试,首要对网关、路由器及交流机进行联通测试。然后对上层交流机和外网IP地址进行测试,如不美观一切正常则转入下一步操作,否则进行设备搜检。
3 N& S2 f- T9 ^5 `' H; P* O' C  (2).如不美观公司收集出口处使用了防火墙或者监控软件,可以经由过程防火墙或者监控软件来查看收集毗连。收集呈现速度迟缓,一般是因为某台或者数台计较机年夜量占用带宽造成,也有可能是因为收集风暴造成的。防火墙打点软件可以很便利地发现年夜量发包的计较机IP以及端口等信息。找到这些计较机后,切断故障泉源,再查看收集使用情形,如不美观正常,则解决故障泉源计较机则可。; F. Q; h) K; }4 Z! ~
  (3).采纳解救法子。对存在问题的计较机进行杀毒等平安搜检,确保计较机运行正常后才再接入收集。有前提的话,可以对Emule、BT等软件做分时下载限制或者禁用。6 G% b! b0 V, ~9 i2 [" k' H
  最后,考试年夜但愿本文供给的案例以及排错技巧、思绪对巨匠有所辅佐。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|Woexam.Com ( 湘ICP备18023104号 )

GMT+8, 2024-5-30 04:10 , Processed in 0.729345 second(s), 21 queries .

Powered by Discuz! X3.4 Licensed

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表