病毒路由器故障 路由器過(guò)載解決方案，病毒路由器故障是一個(gè)很普通的問(wèn)題，但我們?nèi)绾螌?duì)病毒路由器故障進(jìn)行更精確的解決，給我們的使用到來(lái)方便呢？

此次故障發(fā)生地的拓?fù)浣Y(jié)構(gòu)是這樣的：使用一臺(tái)EnterasysSSR8000作為邊界路由器，同時(shí)也用它把校園內(nèi)部劃分為8個(gè)虛網(wǎng)，每個(gè)虛網(wǎng)各有一個(gè)堆疊的二層交換機(jī)作為臺(tái)式機(jī)和筆記本的接入設(shè)備，主干為千兆，百兆到桌面。

那天，我接到一個(gè)同事的求助電話，說(shuō)他的機(jī)器不能上網(wǎng)了。這個(gè)同事的主機(jī)所在的虛網(wǎng)和網(wǎng)絡(luò)中心不在同一個(gè)虛網(wǎng)中。聽(tīng)同事介紹說(shuō)5分鐘前還好的（能夠上網(wǎng)），現(xiàn)在不知道為什么就不好上網(wǎng)了。而且他的機(jī)器（安裝的系統(tǒng)為WindowsXP）最近沒(méi)有安裝什么新的程序，沒(méi)有移動(dòng)過(guò)電腦，也沒(méi)有拔過(guò)網(wǎng)線。

首先，排查網(wǎng)絡(luò)客戶端的錯(cuò)誤配置。進(jìn)入MSDOS方式使用IPCONFIG命令檢查主機(jī)的IP地址配置：上面顯示的配置是正確的，然后ping自己的IP地址這說(shuō)明IP地址是生效的，網(wǎng)卡工作正常。再使用PING命令，測(cè)試從本機(jī)到網(wǎng)關(guān)的連接情況：

從主機(jī)向網(wǎng)關(guān)發(fā)送的數(shù)據(jù)包，全部都得到了回應(yīng)，線路是連通的。打開(kāi)瀏覽器，也能夠正常上網(wǎng)，一點(diǎn)兒都沒(méi)問(wèn)題。現(xiàn)在的網(wǎng)絡(luò)是正常的！？正在懷疑的時(shí)候，發(fā)現(xiàn)網(wǎng)絡(luò)又不通了！發(fā)現(xiàn)ping出的數(shù)據(jù)包未能到達(dá)網(wǎng)關(guān)。

奇怪，剛才還好的，怎么現(xiàn)在又不通了呢？難道是網(wǎng)卡或者系統(tǒng)有問(wèn)題？誰(shuí)知過(guò)了一會(huì)兒，發(fā)現(xiàn)又通了。幸虧那天帶了筆記本，于是我把臺(tái)式機(jī)上的網(wǎng)線插到我的電腦上，配置好IP地址后ping網(wǎng)關(guān)，也出現(xiàn)時(shí)斷時(shí)續(xù)的情況。

斷開(kāi)的現(xiàn)象大概持續(xù)了50秒鐘，然后又恢復(fù)正常。這回可以基本排除主機(jī)的問(wèn)題了，因?yàn)閮膳_(tái)不相干主機(jī)同時(shí)出現(xiàn)同樣此類(lèi)問(wèn)題的幾率幾乎為零。鑒于此現(xiàn)象，我首先排除了連接線纜的病毒路由器故障，因?yàn)檫B接的線纜不可能出現(xiàn)這種時(shí)斷時(shí)續(xù)的情況，病毒路由器故障最有可能會(huì)出在線纜的另一端——二層交換機(jī)上。

于是來(lái)到這棟樓的設(shè)備間，查看交換機(jī)的狀態(tài)，這是一個(gè)由兩臺(tái)交換機(jī)的堆疊，其中一臺(tái)交換機(jī)上有一個(gè)上聯(lián)的千兆端口。我把筆記本接到交換機(jī)的其中一個(gè)端口上，再ping網(wǎng)關(guān)。還是同樣的病毒路由器故障，而且還發(fā)現(xiàn)每過(guò)4分鐘到10分鐘，網(wǎng)絡(luò)就會(huì)斷一次，并且40到50秒后又恢復(fù)正常。

經(jīng)過(guò)觀察發(fā)現(xiàn)：沒(méi)有發(fā)現(xiàn)端口指示燈的異常情況，說(shuō)明交換機(jī)的各個(gè)端口均正常。難道真是交換機(jī)的內(nèi)部系統(tǒng)出現(xiàn)故障了？算了，索性把交換機(jī)重啟一下。誰(shuí)知重啟后，病毒路由器故障依舊。可能交換機(jī)真的出了問(wèn)題，我正想是否要把堆疊模塊換到另外一個(gè)交換機(jī)上的時(shí)候，我的手機(jī)響了，又一個(gè)同事告訴我他的機(jī)器也出現(xiàn)相同的故障現(xiàn)象。

而這個(gè)同事的主機(jī)在另外一個(gè)虛網(wǎng)中，同時(shí)出現(xiàn)相同的時(shí)通時(shí)斷情況，那極有可能是連接這兩個(gè)虛網(wǎng)的路由器出了問(wèn)題。這回問(wèn)題集中到路由器上了。我急忙回到網(wǎng)絡(luò)中心，從路由器的外部指示燈上看，沒(méi)什么異常現(xiàn)象。在我的網(wǎng)管機(jī)上ping路由器的地址（我的網(wǎng)管機(jī)是直接連在路由器的百兆模塊上的），也是時(shí)通時(shí)斷。

我又繼續(xù)觀察了一段時(shí)間，發(fā)現(xiàn)每過(guò)4分鐘到10分鐘，路由器所有模塊的指示燈都會(huì)同時(shí)熄滅，接著控制模塊上的“HBT”燈閃爍，然后“OK”燈亮起，最后所有模塊的指示燈均顯示Online。

我解釋一下，“HBT”燈閃爍表示路由器正在啟動(dòng)，也就是說(shuō)正在自動(dòng)重啟，而且40秒左右的網(wǎng)絡(luò)斷開(kāi)時(shí)間正好是路由器的重啟所需的時(shí)間。現(xiàn)在問(wèn)題的查找工作已經(jīng)結(jié)束，肯定是路由器出了病毒路由器故障。具體是什么問(wèn)題，還需要進(jìn)一步的檢測(cè)。

趁著路由器正常工作的時(shí)候，把筆記本的COM口使用路由器的專(zhuān)用CONSOLE線連接起來(lái)，建立超級(jí)終端。在管理模式下使用命令“system show bootlog”查看系統(tǒng)的啟動(dòng)記錄，發(fā)現(xiàn)各個(gè)模塊的加載均屬正常。造成路由器重啟的原因，最大的可能就是CPU的利用率達(dá)到100％。使用“system show cpu-utilization”命令查看CPU的使用率：

果然，連續(xù)使用此命令后得知CPU利用率正在逐漸上升，當(dāng)達(dá)到95％的時(shí)候路由器便自動(dòng)重啟。看來(lái)路由器的負(fù)載太大了，因?yàn)槠綍r(shí)正常情況下，CPU的使用率僅為1％—6％左右。當(dāng)網(wǎng)絡(luò)使用高峰期的時(shí)候CPU的利用率會(huì)稍微高一點(diǎn)。

但到底是什么讓路由器過(guò)載呢？幸好以前曾經(jīng)給路由器設(shè)置過(guò)日志記錄，并把日志發(fā)送到一個(gè)日志服務(wù)器上。但是打開(kāi)這臺(tái)服務(wù)器所記錄的日志并未能找到有用的線索。因?yàn)楫?dāng)路由器負(fù)載過(guò)大時(shí)，它已經(jīng)不能往日志服務(wù)器上發(fā)送日志了，我只能用“system show syslog buffer”命令來(lái)查看當(dāng)前系統(tǒng)緩存中的日志記錄：

很明顯，“210.16.3.82”這臺(tái)在使用ICMP協(xié)議向其他主機(jī)發(fā)起攻擊，據(jù)此判斷，這臺(tái)主機(jī)要么是中毒，要么是被黑客利用了。鑒于當(dāng)時(shí)的情況分析，可能是網(wǎng)絡(luò)中存在中了“沖擊波殺手”病毒的主機(jī)。

該病毒使用類(lèi)型為echo的ICMP報(bào)文來(lái)ping根據(jù)自身算法得出的ip地址段，以此檢測(cè)這些地址段中存活的主機(jī)，并發(fā)送大量載荷為“aa”，填充長(zhǎng)度92字節(jié)的icmp報(bào)文，從而導(dǎo)致網(wǎng)絡(luò)堵塞。而且病毒一旦發(fā)現(xiàn)存活的主機(jī)，便試圖使用135端口的rpc漏洞和80端口的webdav漏洞進(jìn)行溢出攻擊。

溢出成功后會(huì)監(jiān)聽(tīng)69（TFTP專(zhuān)業(yè)端口，用于文件下載）端口和666-765（通常是707端口）范圍中的一個(gè)隨機(jī)端口等待目標(biāo)主機(jī)回連。根據(jù)該病毒的傳播機(jī)理，立刻在路由器上設(shè)置訪問(wèn)控制列表（ACL），以阻塞UDP協(xié)議的69端口（用于文件下載）、TCP的端口135（微軟的DCOM RPC端口）和ICMP協(xié)議（用于發(fā)現(xiàn)活動(dòng)主機(jī)）。具體的ACL配置如下：

最后再把deny-virus這個(gè)ACL應(yīng)用到上聯(lián)接口（uplink）上：這樣就可以把“沖擊波殺手”從網(wǎng)絡(luò)的出口處堵截住。為了防止已經(jīng)感染“沖擊波殺手”的主機(jī)在校內(nèi)各個(gè)虛網(wǎng)之間傳播，還得把這個(gè)ACL應(yīng)用到校內(nèi)各虛網(wǎng)的接口上。這時(shí)使用再“system show cpu-utilization”查看CPU的使用率，它又恢復(fù)到正常狀態(tài)，等待了一段時(shí)間后，再?zèng)]有出現(xiàn)重啟現(xiàn)象。

由于路由器不能自動(dòng)丟棄這種病毒發(fā)出的攻擊數(shù)據(jù)包，而導(dǎo)致了路由器重啟。為了徹底解決問(wèn)題，還得升級(jí)路由器的IOS（可以使用“system show version”來(lái)查看當(dāng)前使用的IOS的版本）。記得兩年前在“紅色代碼”病毒盛行的時(shí)候，也出現(xiàn)過(guò)路由器因過(guò)載而不斷重啟的現(xiàn)象，升級(jí)IOS以后就恢復(fù)正常了。于是立刻和設(shè)備供應(yīng)商取得聯(lián)系并獲得最新的IOS映像文件。至此，病毒路由器故障全部解決。

從這場(chǎng)故障處理中，我們可以得到這樣的教訓(xùn)：時(shí)刻關(guān)注網(wǎng)絡(luò)上事態(tài)的發(fā)展，并作出相應(yīng)的解決方案，而且付諸實(shí)施。教育網(wǎng)用戶可以在http://www.ccert.edu.cn網(wǎng)站上訂閱安全公告服務(wù)，一旦有新的漏洞出現(xiàn)，CCERT安全響應(yīng)小組會(huì)自動(dòng)發(fā)送郵件給你。

當(dāng)時(shí)暑假期間得知“沖擊波”后，由于及時(shí)在路由器上做了設(shè)置，所以“沖擊波”病毒沒(méi)有在網(wǎng)內(nèi)泛濫，但隨后的“沖擊波殺手”沒(méi)有及時(shí)設(shè)置相應(yīng)的ACL，所以才導(dǎo)致這次的網(wǎng)絡(luò)癱瘓。實(shí)際上，在這次的“沖擊波”和“沖擊波殺手”的襲擊中，很多城域網(wǎng)也因此陷入癱瘓。這些經(jīng)歷一次又一次的警告我們：時(shí)刻關(guān)注網(wǎng)絡(luò)安全，及時(shí)積極的應(yīng)對(duì)。