一、不堪重負(fù)的路由器

1.故障描述

筆者的幾個(gè)朋友趕在暑期前各自開了個(gè)不大的網(wǎng)吧，網(wǎng)吧中有七八十臺(tái)計(jì)算機(jī)。他們都反映在上網(wǎng)的時(shí)候，有時(shí)候莫名其妙地出現(xiàn)一種奇怪的現(xiàn)象：在某一個(gè)時(shí)間內(nèi)有的計(jì)算機(jī)不能正常上網(wǎng)，但其他計(jì)算機(jī)卻能正常上網(wǎng)。比如，同一個(gè)服務(wù)器連接的兩臺(tái)計(jì)算機(jī)正在玩網(wǎng)絡(luò)游戲，當(dāng)出現(xiàn)上述現(xiàn)象時(shí)，一臺(tái)計(jì)算機(jī)可能仍在網(wǎng)絡(luò)中進(jìn)行游戲，而另一臺(tái)計(jì)算機(jī)卻斷線了，然后無論如何都不能進(jìn)入游戲了，且連網(wǎng)頁都不能正常打開。

2.故障分析

通過朋友的描述，筆者發(fā)現(xiàn)他們的網(wǎng)吧都使用了同樣的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，通過光纖級聯(lián)交換機(jī)，交換機(jī)連到路由器上，從網(wǎng)吧的網(wǎng)絡(luò)都出現(xiàn)了相同的問題看，引發(fā)這幾家網(wǎng)吧網(wǎng)絡(luò)出問題的原因應(yīng)該是一樣的。

筆者趕到朋友們的網(wǎng)吧進(jìn)行了查看，由于局域網(wǎng)中的各個(gè)計(jì)算機(jī)都可以正常連接，所以懷疑故障不是出在交換機(jī)上的，而應(yīng)該出在路由器上。檢查網(wǎng)吧路由器，發(fā)現(xiàn)這幾家網(wǎng)吧為了節(jié)省成本，購買的都是一些價(jià)格很便宜的低檔路由器。筆者懷疑可能因?yàn)檫@些路由器性能太差而無法“帶”太多的用戶同時(shí)上網(wǎng)。于是筆者從單位機(jī)房借來了一臺(tái)高檔路由器，安裝后，網(wǎng)吧中的計(jì)算機(jī)全都能夠正常上網(wǎng)，運(yùn)行了兩天，沒有發(fā)現(xiàn)不能上網(wǎng)的現(xiàn)象。原來是路由器性能太差導(dǎo)致故障出現(xiàn)。

3.故障解決

由于本次故障是路由器性能較差引起的，筆者便建議朋友購買一臺(tái)高檔路由器。但是，朋友只是把網(wǎng)吧當(dāng)做賺錢的工具，舍不得花太多錢在網(wǎng)絡(luò)設(shè)備上面。最后，筆者只有將網(wǎng)吧內(nèi)的一臺(tái)閑置的服務(wù)器設(shè)置成一個(gè)代理服務(wù)器供一些計(jì)算機(jī)共享上網(wǎng)，而路由器則連接另外一些計(jì)算機(jī)上網(wǎng)。配置完成后，經(jīng)過一段時(shí)間的測試、運(yùn)行，現(xiàn)有網(wǎng)絡(luò)的網(wǎng)速雖然趕不上使用高檔路由器時(shí)的網(wǎng)速，但也沒出現(xiàn)什么問題，網(wǎng)絡(luò)運(yùn)行也算穩(wěn)定，在沒有增加開支的情況下故障得到了解決。

4.總結(jié)

大部分網(wǎng)吧都是以盈利為目的，很多人采用的措施就是節(jié)省資金，購買一些較便宜的設(shè)備。這樣雖然把價(jià)錢省下來了，設(shè)備性能卻降低了，而網(wǎng)民們卻都是哪家網(wǎng)吧的計(jì)算機(jī)好、網(wǎng)絡(luò)好就去那家，網(wǎng)吧的網(wǎng)絡(luò)不好自然吸引不了顧客，添加設(shè)備勢必又會(huì)浪費(fèi)一部分資金。因些，網(wǎng)吧在搭建網(wǎng)絡(luò)時(shí)，不僅要省錢，更要注重網(wǎng)絡(luò)性能，事先了解網(wǎng)吧的規(guī)模以及運(yùn)作方式，選擇合適的網(wǎng)絡(luò)設(shè)備搭建結(jié)構(gòu)合理的網(wǎng)絡(luò)，才能使網(wǎng)吧賺錢。真是不堪重負(fù)的路由器如何能擔(dān)當(dāng)起網(wǎng)吧老板賺錢的重任?#p#

二、被劫持的路由器

1.故障描述

筆者本地的一家中型企業(yè)的網(wǎng)絡(luò)出了故障，據(jù)管理員反應(yīng)主要癥狀為：公司網(wǎng)絡(luò)網(wǎng)速緩慢，且出現(xiàn)延遲的現(xiàn)象。登錄服務(wù)器半天沒有響應(yīng)，時(shí)常提示超時(shí)。初步判斷，網(wǎng)絡(luò)中有異常數(shù)據(jù)流，因?yàn)榫W(wǎng)絡(luò)中的交換機(jī)和路由器燈常明、狂閃。

2.網(wǎng)絡(luò)環(huán)境

根據(jù)該公司管理人員提供的信息，該公司內(nèi)網(wǎng)在三層交換處劃分了VLAN，最后通過路由器與Internet 連接，網(wǎng)內(nèi)大概有200臺(tái)電腦。網(wǎng)絡(luò)拓?fù)鋱D如下：

圖1 某企業(yè)網(wǎng)絡(luò)拓?fù)鋱D

3.診斷分析

筆者做為一名協(xié)助人員對這家企業(yè)的網(wǎng)絡(luò)故障進(jìn)行了分析。個(gè)人感覺該集團(tuán)公司在網(wǎng)絡(luò)管理上力度不夠，網(wǎng)絡(luò)部署不嚴(yán)密。初步判斷網(wǎng)絡(luò)中存在ARP欺騙，ARP風(fēng)暴吞噬了網(wǎng)絡(luò)帶寬，影響了網(wǎng)絡(luò)響應(yīng)的速度。

由于主機(jī)數(shù)量比較大，逐個(gè)手動(dòng)查找肯定是麻煩的，于是通過網(wǎng)絡(luò)分析軟件來查找故障主機(jī)。經(jīng)過一些鏡像設(shè)置，我將“科來網(wǎng)絡(luò)分析軟件”安裝到筆記本上，并接入到該公司的中心交換設(shè)備的鏡像端口處抓包，30分鐘過去了，停止捕獲并開始分析。關(guān)鍵數(shù)據(jù)還是很多的，通過查看捕獲的數(shù)據(jù)包，我第一感覺是該公司的網(wǎng)絡(luò)可能感染了蠕蟲病毒，該病毒在在網(wǎng)絡(luò)中感染其它的主機(jī)，產(chǎn)生了數(shù)據(jù)風(fēng)暴，使網(wǎng)絡(luò)性能下降。

我首先查看“診斷視圖”，發(fā)現(xiàn)在“診斷視圖”中“TCP重復(fù)的連接嘗試”很多，居然達(dá)到了31126次，這是很不正常的情況。為了找到更多的“證據(jù)”來證明，在“端點(diǎn)視圖”按網(wǎng)絡(luò)連接排序，發(fā)現(xiàn)10.8.24.11這臺(tái)主機(jī)的網(wǎng)絡(luò)連接數(shù)名列榜首。

圖2 診斷視圖

這時(shí)我定位分析這臺(tái)主機(jī)(10.8.24.11)，查看“會(huì)話視圖”中的TCP 連接情況，發(fā)現(xiàn)全是10.8.24.11向目的主機(jī)的445端口發(fā)起的連接。這恰好證明了我的猜測，該主機(jī)可能感染蠕蟲病毒，且該病毒正在試圖感染其它主機(jī)。

圖3 會(huì)話連接示意圖

然后在“概要統(tǒng)計(jì)”里，查看主機(jī)10.8.24.11的TCP數(shù)據(jù)包情況，在30分12秒的時(shí)間里，10.8.24.11主機(jī)共發(fā)起了29622個(gè)TCP 同步數(shù)據(jù)包，而結(jié)束數(shù)據(jù)包和復(fù)位數(shù)據(jù)包分別是3253和1387個(gè)。結(jié)合上面對該主機(jī)連接的分析，基本確定主機(jī)(10.8.24.11)感染蠕蟲病毒。

圖4 TCP數(shù)據(jù)包對比圖

#p#

4.故障解決

主機(jī)10.8.24.11 感染蠕蟲病毒，病毒自動(dòng)通過網(wǎng)絡(luò)與其它主機(jī)的TCP445端口建立連接，試圖感染其它主機(jī)，這樣嚴(yán)重耗費(fèi)網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)整體性能下降，嚴(yán)重時(shí)可使網(wǎng)絡(luò)大面積感染病毒，引發(fā)網(wǎng)絡(luò)的主機(jī)全部癱瘓。將主機(jī)10.8.24.11與網(wǎng)絡(luò)隔離，并對其進(jìn)行病毒查殺，查殺后再重新接入網(wǎng)絡(luò)。

5.故障重現(xiàn)

本來以為事情結(jié)束了，誰知不到一天，網(wǎng)絡(luò)管理員又告訴我，公司的網(wǎng)絡(luò)流速時(shí)好時(shí)壞，雖然沒有上次大面積長時(shí)間的停滯，而是很有規(guī)律地在上班時(shí)間發(fā)生網(wǎng)絡(luò)擁堵，網(wǎng)速緩慢。

6.故障分析

首先用網(wǎng)絡(luò)分析軟件在網(wǎng)絡(luò)的中心節(jié)點(diǎn)上進(jìn)行抓包，抓包時(shí)間20分鐘。通過分析發(fā)現(xiàn)有大流量的數(shù)據(jù)從外網(wǎng)通過路由器轉(zhuǎn)發(fā)到一個(gè)MAC地址為00-0A-E6-98-84-B7的主機(jī)上。數(shù)據(jù)流占了整個(gè)從外網(wǎng)流入數(shù)據(jù)的80%以上。通過查看管理員整理的MAC列表，找到這臺(tái)主機(jī)。這是一臺(tái)文件服務(wù)器，主要用來企業(yè)文件的共享。這讓人費(fèi)解，為什么會(huì)有外網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)到它呢?馬上對這臺(tái)服務(wù)器進(jìn)行檢查，檢查結(jié)果讓該企業(yè)的管理員非常驚訝，這臺(tái)文件服務(wù)器竟然被配置成了代理主機(jī)!

圖5 故障分析結(jié)果顯示

難道這臺(tái)文件服務(wù)器被人入侵了?我感覺事情沒有那么簡單，入侵者為什么要把它配置成代理服務(wù)器呢?難道入侵的不僅僅是這臺(tái)服務(wù)器，連路由器也被入侵了嗎?從管理員出得到得知路由器密碼，然后登錄進(jìn)去。果然發(fā)現(xiàn)有人在路由器上做了設(shè)置，有許多端口轉(zhuǎn)發(fā)到了這臺(tái)文件服務(wù)器上。

現(xiàn)在思路非常清楚了：有人首先入侵了文件服務(wù)器，然后把它配置成代理服務(wù)器。接著利用獲得的管理員密碼，控制了路由器，在路由器上設(shè)置了端口轉(zhuǎn)發(fā)，把外網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)到文件服務(wù)器上，最后在自己的主機(jī)上設(shè)置代理上網(wǎng)，通過P2P軟件下載大型文件或者看電影、玩游戲，造成網(wǎng)絡(luò)擁堵。

為什么要進(jìn)行這樣做呢?原來企業(yè)規(guī)定員工不能聯(lián)入Internet，并且在路由器上做了限制。很明顯有人不甘寂寞突破了封鎖，在上班時(shí)間聯(lián)入Internet。那他又是如何控制路由器的呢?通過剛才登錄路由器，我發(fā)現(xiàn)路由器采用的是默認(rèn)的用戶名，密碼是英文和數(shù)字的組合。好像是姓名和電話號碼，通過問管理員得到了肯定的回答。不入侵才怪呢?原來入侵者通過社會(huì)工程學(xué)得知了路由器的密碼然后控制了路由器。

7.故障解決

接下來的是就是找到入侵者，同樣運(yùn)用網(wǎng)絡(luò)分析軟件。首先取消這臺(tái)文件服務(wù)器的文件共享功能，簡化數(shù)據(jù)捕獲，設(shè)置好網(wǎng)絡(luò)監(jiān)控軟件然后蹲點(diǎn)。不一會(huì)兒，就獲得了大量的數(shù)據(jù)，通過對數(shù)據(jù)的分析，很快確定了幾個(gè)可疑的MAC地址。根據(jù)MAC地址列表找到了主機(jī)。然后恢復(fù)文件服務(wù)器的共享功能，取消代理。路由器重新設(shè)置復(fù)雜的密碼。

圖6 流量分析結(jié)果顯示的IP

事后了解到確實(shí)是某人突破了文件服務(wù)器和路由器后進(jìn)行了設(shè)置，然后告訴了幾個(gè)朋友，通過代理來上網(wǎng)。想想P2P下載，看電影，玩游戲，網(wǎng)絡(luò)速度能不慢嗎?

總結(jié)：這兩起與路由器有關(guān)的案例，說到本質(zhì)上不怨路由器，都是人為的因素。做為網(wǎng)絡(luò)的管理員，一定要保護(hù)好網(wǎng)絡(luò)的關(guān)鍵組件，設(shè)置強(qiáng)密碼。另外，我們在解決網(wǎng)絡(luò)故障的時(shí)候，靈活運(yùn)用網(wǎng)絡(luò)分析軟件可以起到事半功倍的效果。

【編輯推薦】

1. 調(diào)教路由器讓網(wǎng)絡(luò)管理效率更高
2. 實(shí)例：本地路由導(dǎo)致的網(wǎng)絡(luò)故障
3. 通過查看路由器的端口狀態(tài)解決網(wǎng)絡(luò)故障