如何解救被劫持的路由器？

　　什么是路由劫持？路由劫持可能是上層交換機(jī)或者電信核心交換機(jī)出現(xiàn)了故障。如果是這種原因，公司網(wǎng)絡(luò)內(nèi)部仍然是暢通的，路由器和交換機(jī)設(shè)備處于工作正常狀態(tài)。那發(fā)生這種情況要怎么操作呢？下面我們就一起來(lái)看看吧。

　　一、案例再現(xiàn)——路由器被劫持了！

　　1、故障描述

　　某公司的內(nèi)網(wǎng)是在三層交換處劃分的VLAN，最后通過(guò)路由器與遠(yuǎn)程連接，網(wǎng)內(nèi)有近二百臺(tái)主機(jī)。前段時(shí)間網(wǎng)絡(luò)出現(xiàn)了這樣一個(gè)故障：公司網(wǎng)絡(luò)網(wǎng)速緩慢，且出現(xiàn) 延遲現(xiàn)象，登錄服務(wù)器很久都沒(méi)有響應(yīng)，時(shí)常提示超時(shí)。當(dāng)初判斷是網(wǎng)絡(luò)中有異常數(shù)據(jù)流，因?yàn)榫W(wǎng)絡(luò)中的交換機(jī)和路由器燈長(zhǎng)明、狂閃xp系統(tǒng)下載。

　　2、定位中毒客戶(hù)端

　　最初以為公司網(wǎng)絡(luò)部署不嚴(yán)密或者在網(wǎng)絡(luò)中存在ARP欺騙，ARP風(fēng)暴吞噬了網(wǎng)絡(luò)帶寬，影響了網(wǎng)絡(luò)速度。鑒于接入網(wǎng)絡(luò)機(jī)器太多，手動(dòng)全部查找很麻煩，決定借 助分析軟件來(lái)查。將安裝軟件的筆記本接入到中心交換機(jī)端口，經(jīng)過(guò)一個(gè)小時(shí)，根據(jù)軟件得到的數(shù)據(jù)分析，感覺(jué)是感染了蠕蟲(chóng)病毒，是些病毒在網(wǎng)絡(luò)中感染了其他機(jī) 器，產(chǎn)生了數(shù)據(jù)風(fēng)暴，使網(wǎng)絡(luò)性能下降。

　　根據(jù)軟件“診斷視圖” 中顯示的連接嘗試，發(fā)現(xiàn)有一臺(tái)IP為172.16.56.7的主機(jī)不正常。進(jìn)行定位分析后，判斷此主機(jī)可能感染了蠕蟲(chóng)病毒，且該病毒正在試圖感染其他主 機(jī)。病毒自動(dòng)通過(guò)網(wǎng)絡(luò)與其他主機(jī)的TCP 445端口建立連接，試圖感染其他主機(jī)，嚴(yán)重消耗了網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)性能下降，嚴(yán)重時(shí)會(huì)使整個(gè)網(wǎng)絡(luò)癱瘓。于是對(duì)此主機(jī)進(jìn)行了隔離，病毒查殺后，重新接入 網(wǎng)絡(luò)。

　　3、故障重現(xiàn)

　　本以為問(wèn)題得到解決，可第二天又出現(xiàn)了以前的情況，只是沒(méi)有以前大面積長(zhǎng)時(shí)間斷網(wǎng)或停滯，還是有規(guī)律地發(fā)生網(wǎng)絡(luò)擁堵，網(wǎng)速緩慢。再次用分析軟件進(jìn)行抓包分析，通過(guò)分析發(fā)現(xiàn)大流量的數(shù)據(jù)是從外網(wǎng)通過(guò)路由器轉(zhuǎn)發(fā)到一個(gè)MAC地址為00- A0-D1-E5-17-05的主機(jī)上，這個(gè)數(shù)據(jù)占了外網(wǎng)流入量的80%以上。通過(guò)檔案資料查到了此主機(jī)為一臺(tái)服務(wù)器，主要用來(lái)實(shí)現(xiàn)內(nèi)部文件共享的文件服 務(wù)器。通過(guò)對(duì)此服務(wù)器進(jìn)行檢查，結(jié)果發(fā)現(xiàn)此服務(wù)器配置成了代理服務(wù)器，懷疑被人入侵了。

　　那么為什么配成代理服務(wù)器呢？是不是路由器也被入侵了？登錄路由器，發(fā)現(xiàn)路由器設(shè)置了端口轉(zhuǎn)發(fā)，許多端口轉(zhuǎn)發(fā)都轉(zhuǎn)到了這臺(tái)文件服務(wù)器上�，F(xiàn)在原因已經(jīng)很清楚了，有人入侵了此文件服務(wù)器，并將它設(shè)置成了代理服務(wù)器，然后控制了路由器，在路由器上設(shè)置了端口轉(zhuǎn)發(fā)，把外網(wǎng)數(shù)據(jù)轉(zhuǎn)到服務(wù)器上，最后在自己的機(jī)器上設(shè)置代理上網(wǎng)，通過(guò)P2P軟件大量下載造成網(wǎng)絡(luò)擁堵系統(tǒng)下載。因?yàn)楣�司�?guī)定除個(gè)別機(jī)器可以上網(wǎng)外，絕大部分機(jī)器不能接入Internet網(wǎng)，所以通過(guò)路由器進(jìn)行了限制。由于公司路由器采用的是默認(rèn)用戶(hù)名，只是簡(jiǎn)單地設(shè)置了密碼，這樣路由器就被控制了。

　　4、故障徹底解決

　　運(yùn)行網(wǎng)絡(luò)分析軟件，首先取消了文件服務(wù)器的文件共享，設(shè)置網(wǎng)絡(luò)監(jiān)控軟件，很快獲得了大量數(shù)據(jù)。根據(jù)幾個(gè)可疑MAC及所存的檔案，很快找到了相應(yīng)的主機(jī)。然后恢復(fù)文件服務(wù)器共享功能，取消代理服務(wù)器設(shè)置，重新設(shè)置路由器密碼。至此問(wèn)題徹底解決。

　　二、深入拓展——如何解救被劫持的路由？

　　也許，上面的案例比較特殊。其實(shí)，網(wǎng)絡(luò)運(yùn)維中類(lèi)似的案例還是比較多的，其原因也是非常復(fù)雜的。下面談?wù)勗斐深?lèi)似故障的排錯(cuò)思路和排錯(cuò)流程。

　　1、排錯(cuò)思路

　�。�1）上層交換機(jī)或者電信核心交換機(jī)出現(xiàn)了故障。如果是這種原因，公司網(wǎng)絡(luò)內(nèi)部仍然是暢通的，路由器和交換機(jī)設(shè)備處于工作正常狀態(tài)。這種情況也是時(shí)有發(fā) 生的，比如筆者本地的電信路由就曾因遭到攻擊而癱瘓。對(duì)此，公司管理員是無(wú)能為力的，只能等待電信部門(mén)盡快恢復(fù)了。

　　（2）公司內(nèi)部用戶(hù)在使用Emule、BT等下載軟件在下載資料。員工使用Emule和BT等下載軟件下載資料時(shí)，會(huì)占用公司大量帶寬，公司網(wǎng)絡(luò)本身就 有一定負(fù)載，因此極有可能造成其他用戶(hù)不能訪問(wèn)網(wǎng)絡(luò)，打開(kāi)網(wǎng)頁(yè)出現(xiàn)超時(shí)等現(xiàn)象。如果是因?yàn)檫@個(gè)原因，則可以在入口處通過(guò)技術(shù)手段禁用這些下載軟件即可。

　�。�3）路由器以及交換機(jī)在長(zhǎng)期運(yùn)行后，支持軟件對(duì)內(nèi)存的消耗超過(guò)了設(shè)備本身的臨界值而超負(fù)荷運(yùn)行，也會(huì)導(dǎo)致網(wǎng)絡(luò)速度變慢。出現(xiàn)這種現(xiàn)象，分別重啟交換機(jī)、路由器以及防火墻等設(shè)備即可。

　�。�4）帶寬滿(mǎn)足不了公司要求，建議增加公司帶寬。網(wǎng)速與公司所申請(qǐng)的帶寬、電路類(lèi)型、局域網(wǎng)設(shè)備性能及參數(shù)設(shè)置、網(wǎng)絡(luò)內(nèi)電腦的數(shù)量等諸多因素有關(guān)系，而在公司接入電路后，只能是去測(cè)試實(shí)際帶寬是否能夠達(dá)到所申請(qǐng)的帶寬。這里提供一個(gè)簡(jiǎn)單的帶寬測(cè)試方法：通過(guò)在網(wǎng)上下載一些比較大的文件，觀察下載的流量是否能達(dá)到或接近所申請(qǐng)的速率（為申請(qǐng)速率的75%以上）。

　　我們可以在接入電路上接一臺(tái)PC，以便測(cè)試的結(jié)果更加接近實(shí)際效果。下載越大的文件所需的時(shí)間也就越長(zhǎng)，所反映出來(lái)的效果就越準(zhǔn)確。下載所顯示的速率單位 一般為字節(jié)，而電路申請(qǐng)的速率為比特，所以在確認(rèn)測(cè)試結(jié)果的時(shí)候要注意單位的換算。若下載所顯示的速率與申請(qǐng)的帶寬有較大差距，則有可能是電腦的性能因素 造成的，也有可能是接入電路的因素造成的，此時(shí)可向電信公司申告故障。若測(cè)試正常，而在局域網(wǎng)內(nèi)下載又非常慢，那就應(yīng)該查一下局域網(wǎng)內(nèi)的配置了。局域網(wǎng)內(nèi) 電腦的數(shù)量應(yīng)與所需申請(qǐng)的帶寬成正比。

　　2、排錯(cuò)流程

　　針對(duì)上述故障點(diǎn)，建議采取以下流程來(lái)解決故障問(wèn)題。

　�。�1）檢查網(wǎng)絡(luò)連通情況。先對(duì)公司內(nèi)部網(wǎng)絡(luò)進(jìn)行聯(lián)通測(cè)試，主要對(duì)網(wǎng)關(guān)、路由器及交換機(jī)進(jìn)行聯(lián)通測(cè)試。然后對(duì)上層交換機(jī)和外網(wǎng)IP地址進(jìn)行測(cè)試，如果一切正常則轉(zhuǎn)入下一步操作，否則進(jìn)行設(shè)備檢查。

　�。�2）如果公司網(wǎng)絡(luò)出口處使用了防火墻或者監(jiān)控軟件，可以通過(guò)防火墻或者監(jiān)控軟件來(lái)查看網(wǎng)絡(luò)連接。網(wǎng)絡(luò)出現(xiàn)速度緩慢，一般是因?yàn)槟撑_(tái)或者數(shù)臺(tái)計(jì)算機(jī)大量 占用帶寬造成，也有可能是由于網(wǎng)絡(luò)風(fēng)暴造成的。防火墻管理軟件可以很方便地發(fā)現(xiàn)大量發(fā)包的計(jì)算機(jī)IP以及端口等信息。找到這些計(jì)算機(jī)后，切斷故障源頭，再 查看網(wǎng)絡(luò)使用情況，如果正常，則解決故障源頭計(jì)算機(jī)則可雨林木風(fēng)xp系統(tǒng)下載。

　�。�3）采取補(bǔ)救措施。對(duì)存在問(wèn)題的計(jì)算機(jī)進(jìn)行殺毒等安全檢查，確保計(jì)算機(jī)運(yùn)行正常后才再接入網(wǎng)絡(luò)。有條件的話，可以對(duì)Emule、BT等軟件做分時(shí)下載限制或者禁用。

　　最后，希望本文提供的案例以及排錯(cuò)技巧、思路對(duì)大家有所幫助。