常見路由器故障處理實(shí)例詳解

　　　路由器故障處理是我們網(wǎng)絡(luò)管理員的日常工作，那么如何做好這項(xiàng)工作呢？，那么下面就向你介紹了一個(gè)具體的路由器故障處理實(shí)例，希望那個(gè)對(duì)你有所幫助。

路由器故障處理的起因：

筆者附近的一家中型企業(yè)的網(wǎng)絡(luò)出了故障。管理員反應(yīng)的主要癥狀為：公司網(wǎng)絡(luò)網(wǎng)速緩慢，且出現(xiàn)延遲現(xiàn)象，登錄服務(wù)器很久都沒有響應(yīng)，時(shí)常提示超時(shí)。筆者初步判斷是網(wǎng)絡(luò)中有異常數(shù)據(jù)流，因?yàn)榫W(wǎng)絡(luò)中的交換機(jī)和路由器燈長(zhǎng)明、狂閃。

網(wǎng)絡(luò)環(huán)境：

該公司內(nèi)網(wǎng)在三層交換處劃分了VLAN，最后通過路由器與Internet 連接，網(wǎng)內(nèi)大概有200臺(tái)電腦。

路由器故障處理之原因分析：

筆者作為一名協(xié)助人員對(duì)這家企業(yè)的網(wǎng)絡(luò)故障進(jìn)行了分析。可能是該公司網(wǎng)絡(luò)管理力度不夠，網(wǎng)絡(luò)部署不夠嚴(yán)密，網(wǎng)絡(luò)中可能存在ARP欺騙。ARP 風(fēng)暴吞噬了網(wǎng)絡(luò)帶寬，影響了網(wǎng)絡(luò)響應(yīng)的速度。

由于該公司主機(jī)數(shù)量比較大，逐個(gè)手動(dòng)查找肯定很麻煩，于是我們決定通過網(wǎng)絡(luò)分析軟件來查找故障主機(jī)。經(jīng)過一些鏡像設(shè)置，筆者將科來網(wǎng)絡(luò)分析軟件安裝到筆記本上，并接入到該公司的中心交換設(shè)備的鏡像端口處抓包。30分鐘以后，停止捕獲并開始分析。關(guān)鍵數(shù)據(jù)很多，通過查看捕獲的數(shù)據(jù)包，筆者第一感覺是該公司的網(wǎng)絡(luò)可能感染了蠕蟲病毒，該病毒在網(wǎng)絡(luò)中感染其他主機(jī)，產(chǎn)生了數(shù)據(jù)風(fēng)暴，使網(wǎng)絡(luò)性能下降。

我首先查看“診斷視圖”，發(fā)現(xiàn)在“診斷視圖”中顯示的“TCP重復(fù)的連接嘗試”居然達(dá)到了31126次。這是很不正常的情況。為了找到更多的證據(jù)來證明，筆者在“端點(diǎn)視圖”按網(wǎng)絡(luò)連接排序，發(fā)現(xiàn)IP為10.8.24.11的主機(jī)網(wǎng)絡(luò)連接次數(shù)名列榜首。

此時(shí)筆者決定定位分析這臺(tái)主機(jī)，查看“會(huì)話視圖”中的TCP 連接情況，發(fā)現(xiàn)全是該主題向目的主機(jī)的445端口發(fā)起的連接。這恰好證明了筆者的猜測(cè)：該主機(jī)可能感染了蠕蟲病毒，且該病毒正在試圖感染其他主機(jī)。然后，筆者在“概要統(tǒng)計(jì)”里查看IP為10.8.24.11的主機(jī)的TCP數(shù)據(jù)包情況，發(fā)現(xiàn)在30分12秒的時(shí)間里，該主機(jī)共發(fā)出了29622個(gè)TCP 同步數(shù)據(jù)包，而結(jié)束數(shù)據(jù)包和復(fù)位數(shù)據(jù)包分別是3253和1387個(gè)。結(jié)合以上對(duì)該主機(jī)連接的分析，筆者基本上確定了該主機(jī)感染了蠕蟲病毒。
3lian素材  
路由器故障處理方案：

IP為10.8.24.11的主機(jī)感染蠕蟲病毒后，病毒自動(dòng)通過網(wǎng)絡(luò)與其他主機(jī)的TCP445端口建立連接，試圖感染其他主機(jī)，嚴(yán)重耗費(fèi)了網(wǎng)絡(luò)資源，造成網(wǎng)絡(luò)整體性能的下降，嚴(yán)重時(shí)可使網(wǎng)絡(luò)大面積感染病毒，導(dǎo)致網(wǎng)絡(luò)上的主機(jī)全部癱瘓。筆者將IP為10.8.24.11的主機(jī)與網(wǎng)絡(luò)隔離，并對(duì)其進(jìn)行病毒查殺，查殺后重新接入網(wǎng)絡(luò)。

路由器故障處理過后的問題：

本來以為問題已經(jīng)解決，誰知不到一天，該公司的網(wǎng)管員又告訴筆者，公司的網(wǎng)絡(luò)流速不穩(wěn)定，雖然沒有上次那樣大面積長(zhǎng)時(shí)間的停滯，但是還會(huì)很有規(guī)律地在上班時(shí)間發(fā)生網(wǎng)絡(luò)擁堵，網(wǎng)速緩慢。

再次分析：

筆者首先用網(wǎng)絡(luò)分析軟件在網(wǎng)絡(luò)的中心節(jié)點(diǎn)上進(jìn)行抓包，時(shí)間為20分鐘。通過分析，筆者發(fā)現(xiàn)有大流量的數(shù)據(jù)從外網(wǎng)通過路由器轉(zhuǎn)發(fā)到一個(gè)MAC地址為00-0A-E6-98-84-B7的主機(jī)上。這個(gè)數(shù)據(jù)流占了從外網(wǎng)流入數(shù)據(jù)的80%以上。筆者通過查看管理員整理的MAC列表找到了這臺(tái)主機(jī)。這是一臺(tái)文件服務(wù)器，主要用來實(shí)現(xiàn)企業(yè)內(nèi)部文件的共享。為什么會(huì)有外網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)到這個(gè)服務(wù)器呢？筆者馬上對(duì)這臺(tái)服務(wù)器進(jìn)行檢查。檢查結(jié)果讓該企業(yè)的管理員非常驚訝——這臺(tái)文件服務(wù)器竟然被配置成了代理主機(jī)！

難道這臺(tái)文件服務(wù)器被人入侵了？事情沒有那么簡(jiǎn)單，入侵者為什么要把它配置成代理服務(wù)器呢？難道入侵的不僅僅是這臺(tái)服務(wù)器，連路由器也被入侵了嗎？筆者通過管理員登錄路由器，果然發(fā)現(xiàn)有人在路由器上做了設(shè)置，有許多端口轉(zhuǎn)發(fā)到了這臺(tái)文件服務(wù)器上。

現(xiàn)在原因很清楚了：有人入侵了文件服務(wù)器，并把它配置成代理服務(wù)器；然后利用管理員密碼控制了路由器，在路由器上設(shè)置了端口轉(zhuǎn)發(fā)，把外網(wǎng)的數(shù)據(jù)轉(zhuǎn)發(fā)到文件服務(wù)器上，最后在自己的主機(jī)上設(shè)置代理上網(wǎng)，通過P2P軟件下載大型文件或者看電影、玩游戲，造成網(wǎng)絡(luò)擁堵。

那么，入侵者為什么要這樣做呢？原來該企業(yè)規(guī)定員工不能聯(lián)入Internet，網(wǎng)管在路由器上做了限制?？隙ㄊ怯袉T工通過這個(gè)方式在上班時(shí)間聯(lián)入Internet。那他又是如何控制路由器的呢？筆者了解到，路由器采用的是默認(rèn)的用戶名，密碼是英文和數(shù)字的組合，是姓名和電話號(hào)碼的組合。顯然，入侵者通過社會(huì)工程學(xué)獲取了路由器的密碼，然后控制了路由器。

路由器故障處理的最終方案：

接下來的是就是找到入侵者，筆者采用的方法還是運(yùn)用網(wǎng)絡(luò)分析軟件。筆者首先取消這臺(tái)文件服務(wù)器的文件共享功能，簡(jiǎn)化數(shù)據(jù)捕獲，設(shè)置好網(wǎng)絡(luò)監(jiān)控軟件后蹲點(diǎn)。沒過多久，軟件就獲得了大量的數(shù)據(jù)。通過對(duì)數(shù)據(jù)的分析，筆者很快就確定了幾個(gè)可疑的ＭＡＣ地址，并根據(jù)ＭＡＣ地址列表找到了相關(guān)的主機(jī)。接著，筆者恢復(fù)文件服務(wù)器的共享功能，取消代理，并給路由器重新設(shè)置復(fù)雜的密碼。

事后，筆者了解到，確實(shí)是該公司一名員工突破了文件服務(wù)器和路由器后進(jìn)行了設(shè)置，然后還告知了幾個(gè)朋友通過代理上網(wǎng)。

路由器故障處理總結(jié)：

這兩起與路由器有關(guān)的案例，實(shí)際上其問題都是人為因素造成的。因此，做為網(wǎng)管員，一定要保護(hù)好網(wǎng)絡(luò)的關(guān)鍵組件，設(shè)置強(qiáng)密碼。另外，我們?cè)诮鉀Q網(wǎng)絡(luò)故障的時(shí)候，如果能夠靈活運(yùn)用網(wǎng)絡(luò)分析軟件，就能起到事半功倍的效果。

路由器故障處理實(shí)例的相關(guān)內(nèi)容就向你介紹到這里，希望對(duì)你了解和學(xué)習(xí)掌握路由器故障處理的思路有所幫助。