都是路由器惹的禍
一、不堪重負的路由器
1.故障描述
筆者的幾個朋友趕在暑期前各自開了個不大的網(wǎng)吧,網(wǎng)吧中有七八十臺計算機。他們都反映在上網(wǎng)的時候,有時候莫名其妙地出現(xiàn)一種奇怪的現(xiàn)象:在某一個時間內(nèi)有的計算機不能正常上網(wǎng),但其他計算機卻能正常上網(wǎng)。比如,同一個服務(wù)器連接的兩臺計算機正在玩網(wǎng)絡(luò)游戲,當出現(xiàn)上述現(xiàn)象時,一臺計算機可能仍在網(wǎng)絡(luò)中進行游戲,而另一臺計算機卻斷線了,然后無論如何都不能進入游戲了,且連網(wǎng)頁都不能正常打開。
2.故障分析
通過朋友的描述,筆者發(fā)現(xiàn)他們的網(wǎng)吧都使用了同樣的網(wǎng)絡(luò)拓撲結(jié)構(gòu),通過光纖級聯(lián)交換機,交換機連到路由器上,從網(wǎng)吧的網(wǎng)絡(luò)都出現(xiàn)了相同的問題看,引發(fā)這幾家網(wǎng)吧網(wǎng)絡(luò)出問題的原因應(yīng)該是一樣的。
筆者趕到朋友們的網(wǎng)吧進行了查看,由于局域網(wǎng)中的各個計算機都可以正常連接,所以懷疑故障不是出在交換機上的,而應(yīng)該出在路由器上。檢查網(wǎng)吧路由器,發(fā)現(xiàn)這幾家網(wǎng)吧為了節(jié)省成本,購買的都是一些價格很便宜的低檔路由器。筆者懷疑可能因為這些路由器性能太差而無法“帶”太多的用戶同時上網(wǎng)。于是筆者從單位機房借來了一臺高檔路由器,安裝后,網(wǎng)吧中的計算機全都能夠正常上網(wǎng),運行了兩天,沒有發(fā)現(xiàn)不能上網(wǎng)的現(xiàn)象。原來是路由器性能太差導致故障出現(xiàn)。
3.故障解決
由于本次故障是路由器性能較差引起的,筆者便建議朋友購買一臺高檔路由器。但是,朋友只是把網(wǎng)吧當做賺錢的工具,舍不得花太多錢在網(wǎng)絡(luò)設(shè)備上面。最后,筆者只有將網(wǎng)吧內(nèi)的一臺閑置的服務(wù)器設(shè)置成一個代理服務(wù)器供一些計算機共享上網(wǎng),而路由器則連接另外一些計算機上網(wǎng)。配置完成后,經(jīng)過一段時間的測試、運行,現(xiàn)有網(wǎng)絡(luò)的網(wǎng)速雖然趕不上使用高檔路由器時的網(wǎng)速,但也沒出現(xiàn)什么問題,網(wǎng)絡(luò)運行也算穩(wěn)定,在沒有增加開支的情況下故障得到了解決。
4.總結(jié)
大部分網(wǎng)吧都是以盈利為目的,很多人采用的措施就是節(jié)省資金,購買一些較便宜的設(shè)備。這樣雖然把價錢省下來了,設(shè)備性能卻降低了,而網(wǎng)民們卻都是哪家網(wǎng)吧的計算機好、網(wǎng)絡(luò)好就去那家,網(wǎng)吧的網(wǎng)絡(luò)不好自然吸引不了顧客,添加設(shè)備勢必又會浪費一部分資金。因些,網(wǎng)吧在搭建網(wǎng)絡(luò)時,不僅要省錢,更要注重網(wǎng)絡(luò)性能,事先了解網(wǎng)吧的規(guī)模以及運作方式,選擇合適的網(wǎng)絡(luò)設(shè)備搭建結(jié)構(gòu)合理的網(wǎng)絡(luò),才能使網(wǎng)吧賺錢。真是不堪重負的路由器如何能擔當起網(wǎng)吧老板賺錢的重任?#p#
二、被劫持的路由器
1.故障描述
筆者本地的一家中型企業(yè)的網(wǎng)絡(luò)出了故障,據(jù)管理員反應(yīng)主要癥狀為:公司網(wǎng)絡(luò)網(wǎng)速緩慢,且出現(xiàn)延遲的現(xiàn)象。登錄服務(wù)器半天沒有響應(yīng),時常提示超時。初步判斷,網(wǎng)絡(luò)中有異常數(shù)據(jù)流,因為網(wǎng)絡(luò)中的交換機和路由器燈常明、狂閃。
2.網(wǎng)絡(luò)環(huán)境
根據(jù)該公司管理人員提供的信息,該公司內(nèi)網(wǎng)在三層交換處劃分了VLAN,最后通過路由器與Internet 連接,網(wǎng)內(nèi)大概有200臺電腦。網(wǎng)絡(luò)拓撲圖如下:
圖1 某企業(yè)網(wǎng)絡(luò)拓撲圖
3.診斷分析
筆者做為一名協(xié)助人員對這家企業(yè)的網(wǎng)絡(luò)故障進行了分析。個人感覺該集團公司在網(wǎng)絡(luò)管理上力度不夠,網(wǎng)絡(luò)部署不嚴密。初步判斷網(wǎng)絡(luò)中存在ARP欺騙,ARP風暴吞噬了網(wǎng)絡(luò)帶寬,影響了網(wǎng)絡(luò)響應(yīng)的速度。
由于主機數(shù)量比較大,逐個手動查找肯定是麻煩的,于是通過網(wǎng)絡(luò)分析軟件來查找故障主機。經(jīng)過一些鏡像設(shè)置,我將“科來網(wǎng)絡(luò)分析軟件”安裝到筆記本上,并接入到該公司的中心交換設(shè)備的鏡像端口處抓包,30分鐘過去了,停止捕獲并開始分析。關(guān)鍵數(shù)據(jù)還是很多的,通過查看捕獲的數(shù)據(jù)包,我第一感覺是該公司的網(wǎng)絡(luò)可能感染了蠕蟲病毒,該病毒在在網(wǎng)絡(luò)中感染其它的主機,產(chǎn)生了數(shù)據(jù)風暴,使網(wǎng)絡(luò)性能下降。
我首先查看“診斷視圖”,發(fā)現(xiàn)在“診斷視圖”中“TCP重復的連接嘗試”很多,居然達到了31126次,這是很不正常的情況。為了找到更多的“證據(jù)”來證明,在“端點視圖”按網(wǎng)絡(luò)連接排序,發(fā)現(xiàn)10.8.24.11這臺主機的網(wǎng)絡(luò)連接數(shù)名列榜首。
圖2 診斷視圖
這時我定位分析這臺主機(10.8.24.11),查看“會話視圖”中的TCP 連接情況,發(fā)現(xiàn)全是10.8.24.11向目的主機的445端口發(fā)起的連接。這恰好證明了我的猜測,該主機可能感染蠕蟲病毒,且該病毒正在試圖感染其它主機。
圖3 會話連接示意圖
然后在“概要統(tǒng)計”里,查看主機10.8.24.11的TCP數(shù)據(jù)包情況,在30分12秒的時間里,10.8.24.11主機共發(fā)起了29622個TCP 同步數(shù)據(jù)包,而結(jié)束數(shù)據(jù)包和復位數(shù)據(jù)包分別是3253和1387個。結(jié)合上面對該主機連接的分析,基本確定主機(10.8.24.11)感染蠕蟲病毒。
圖4 TCP數(shù)據(jù)包對比圖
#p#
4.故障解決
主機10.8.24.11 感染蠕蟲病毒,病毒自動通過網(wǎng)絡(luò)與其它主機的TCP445端口建立連接,試圖感染其它主機,這樣嚴重耗費網(wǎng)絡(luò)資源,造成網(wǎng)絡(luò)整體性能下降,嚴重時可使網(wǎng)絡(luò)大面積感染病毒,引發(fā)網(wǎng)絡(luò)的主機全部癱瘓。將主機10.8.24.11與網(wǎng)絡(luò)隔離,并對其進行病毒查殺,查殺后再重新接入網(wǎng)絡(luò)。
5.故障重現(xiàn)
本來以為事情結(jié)束了,誰知不到一天,網(wǎng)絡(luò)管理員又告訴我,公司的網(wǎng)絡(luò)流速時好時壞,雖然沒有上次大面積長時間的停滯,而是很有規(guī)律地在上班時間發(fā)生網(wǎng)絡(luò)擁堵,網(wǎng)速緩慢。
6.故障分析
首先用網(wǎng)絡(luò)分析軟件在網(wǎng)絡(luò)的中心節(jié)點上進行抓包,抓包時間20分鐘。通過分析發(fā)現(xiàn)有大流量的數(shù)據(jù)從外網(wǎng)通過路由器轉(zhuǎn)發(fā)到一個MAC地址為00-0A-E6-98-84-B7的主機上。數(shù)據(jù)流占了整個從外網(wǎng)流入數(shù)據(jù)的80%以上。通過查看管理員整理的MAC列表,找到這臺主機。這是一臺文件服務(wù)器,主要用來企業(yè)文件的共享。這讓人費解,為什么會有外網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)到它呢?馬上對這臺服務(wù)器進行檢查,檢查結(jié)果讓該企業(yè)的管理員非常驚訝,這臺文件服務(wù)器竟然被配置成了代理主機!
圖5 故障分析結(jié)果顯示
難道這臺文件服務(wù)器被人入侵了?我感覺事情沒有那么簡單,入侵者為什么要把它配置成代理服務(wù)器呢?難道入侵的不僅僅是這臺服務(wù)器,連路由器也被入侵了嗎?從管理員出得到得知路由器密碼,然后登錄進去。果然發(fā)現(xiàn)有人在路由器上做了設(shè)置,有許多端口轉(zhuǎn)發(fā)到了這臺文件服務(wù)器上。
現(xiàn)在思路非常清楚了:有人首先入侵了文件服務(wù)器,然后把它配置成代理服務(wù)器。接著利用獲得的管理員密碼,控制了路由器,在路由器上設(shè)置了端口轉(zhuǎn)發(fā),把外網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)到文件服務(wù)器上,最后在自己的主機上設(shè)置代理上網(wǎng),通過P2P軟件下載大型文件或者看電影、玩游戲,造成網(wǎng)絡(luò)擁堵。
為什么要進行這樣做呢?原來企業(yè)規(guī)定員工不能聯(lián)入Internet,并且在路由器上做了限制。很明顯有人不甘寂寞突破了封鎖,在上班時間聯(lián)入Internet。那他又是如何控制路由器的呢?通過剛才登錄路由器,我發(fā)現(xiàn)路由器采用的是默認的用戶名,密碼是英文和數(shù)字的組合。好像是姓名和電話號碼,通過問管理員得到了肯定的回答。不入侵才怪呢?原來入侵者通過社會工程學得知了路由器的密碼然后控制了路由器。
7.故障解決
接下來的是就是找到入侵者,同樣運用網(wǎng)絡(luò)分析軟件。首先取消這臺文件服務(wù)器的文件共享功能,簡化數(shù)據(jù)捕獲,設(shè)置好網(wǎng)絡(luò)監(jiān)控軟件然后蹲點。不一會兒,就獲得了大量的數(shù)據(jù),通過對數(shù)據(jù)的分析,很快確定了幾個可疑的MAC地址。根據(jù)MAC地址列表找到了主機。然后恢復文件服務(wù)器的共享功能,取消代理。路由器重新設(shè)置復雜的密碼。
圖6 流量分析結(jié)果顯示的IP
事后了解到確實是某人突破了文件服務(wù)器和路由器后進行了設(shè)置,然后告訴了幾個朋友,通過代理來上網(wǎng)。想想P2P下載,看電影,玩游戲,網(wǎng)絡(luò)速度能不慢嗎?
總結(jié):這兩起與路由器有關(guān)的案例,說到本質(zhì)上不怨路由器,都是人為的因素。做為網(wǎng)絡(luò)的管理員,一定要保護好網(wǎng)絡(luò)的關(guān)鍵組件,設(shè)置強密碼。另外,我們在解決網(wǎng)絡(luò)故障的時候,靈活運用網(wǎng)絡(luò)分析軟件可以起到事半功倍的效果。
【編輯推薦】
