都是路由器惹的禍
一、不堪重負的路由器
1.故障描述
筆者的幾個朋友趕在暑期前各自開了個不大的網吧,網吧中有七八十臺計算機。他們都反映在上網的時候,有時候莫名其妙地出現一種奇怪的現象:在某一個時間內有的計算機不能正常上網,但其他計算機卻能正常上網。比如,同一個服務器連接的兩臺計算機正在玩網絡游戲,當出現上述現象時,一臺計算機可能仍在網絡中進行游戲,而另一臺計算機卻斷線了,然后無論如何都不能進入游戲了,且連網頁都不能正常打開。
2.故障分析
通過朋友的描述,筆者發(fā)現他們的網吧都使用了同樣的網絡拓撲結構,通過光纖級聯交換機,交換機連到路由器上,從網吧的網絡都出現了相同的問題看,引發(fā)這幾家網吧網絡出問題的原因應該是一樣的。
筆者趕到朋友們的網吧進行了查看,由于局域網中的各個計算機都可以正常連接,所以懷疑故障不是出在交換機上的,而應該出在路由器上。檢查網吧路由器,發(fā)現這幾家網吧為了節(jié)省成本,購買的都是一些價格很便宜的低檔路由器。筆者懷疑可能因為這些路由器性能太差而無法“帶”太多的用戶同時上網。于是筆者從單位機房借來了一臺高檔路由器,安裝后,網吧中的計算機全都能夠正常上網,運行了兩天,沒有發(fā)現不能上網的現象。原來是路由器性能太差導致故障出現。
3.故障解決
由于本次故障是路由器性能較差引起的,筆者便建議朋友購買一臺高檔路由器。但是,朋友只是把網吧當做賺錢的工具,舍不得花太多錢在網絡設備上面。最后,筆者只有將網吧內的一臺閑置的服務器設置成一個代理服務器供一些計算機共享上網,而路由器則連接另外一些計算機上網。配置完成后,經過一段時間的測試、運行,現有網絡的網速雖然趕不上使用高檔路由器時的網速,但也沒出現什么問題,網絡運行也算穩(wěn)定,在沒有增加開支的情況下故障得到了解決。
4.總結
大部分網吧都是以盈利為目的,很多人采用的措施就是節(jié)省資金,購買一些較便宜的設備。這樣雖然把價錢省下來了,設備性能卻降低了,而網民們卻都是哪家網吧的計算機好、網絡好就去那家,網吧的網絡不好自然吸引不了顧客,添加設備勢必又會浪費一部分資金。因些,網吧在搭建網絡時,不僅要省錢,更要注重網絡性能,事先了解網吧的規(guī)模以及運作方式,選擇合適的網絡設備搭建結構合理的網絡,才能使網吧賺錢。真是不堪重負的路由器如何能擔當起網吧老板賺錢的重任?#p#
二、被劫持的路由器
1.故障描述
筆者本地的一家中型企業(yè)的網絡出了故障,據管理員反應主要癥狀為:公司網絡網速緩慢,且出現延遲的現象。登錄服務器半天沒有響應,時常提示超時。初步判斷,網絡中有異常數據流,因為網絡中的交換機和路由器燈常明、狂閃。
2.網絡環(huán)境
根據該公司管理人員提供的信息,該公司內網在三層交換處劃分了VLAN,最后通過路由器與Internet 連接,網內大概有200臺電腦。網絡拓撲圖如下:
圖1 某企業(yè)網絡拓撲圖
3.診斷分析
筆者做為一名協助人員對這家企業(yè)的網絡故障進行了分析。個人感覺該集團公司在網絡管理上力度不夠,網絡部署不嚴密。初步判斷網絡中存在ARP欺騙,ARP風暴吞噬了網絡帶寬,影響了網絡響應的速度。
由于主機數量比較大,逐個手動查找肯定是麻煩的,于是通過網絡分析軟件來查找故障主機。經過一些鏡像設置,我將“科來網絡分析軟件”安裝到筆記本上,并接入到該公司的中心交換設備的鏡像端口處抓包,30分鐘過去了,停止捕獲并開始分析。關鍵數據還是很多的,通過查看捕獲的數據包,我第一感覺是該公司的網絡可能感染了蠕蟲病毒,該病毒在在網絡中感染其它的主機,產生了數據風暴,使網絡性能下降。
我首先查看“診斷視圖”,發(fā)現在“診斷視圖”中“TCP重復的連接嘗試”很多,居然達到了31126次,這是很不正常的情況。為了找到更多的“證據”來證明,在“端點視圖”按網絡連接排序,發(fā)現10.8.24.11這臺主機的網絡連接數名列榜首。
圖2 診斷視圖
這時我定位分析這臺主機(10.8.24.11),查看“會話視圖”中的TCP 連接情況,發(fā)現全是10.8.24.11向目的主機的445端口發(fā)起的連接。這恰好證明了我的猜測,該主機可能感染蠕蟲病毒,且該病毒正在試圖感染其它主機。
圖3 會話連接示意圖
然后在“概要統計”里,查看主機10.8.24.11的TCP數據包情況,在30分12秒的時間里,10.8.24.11主機共發(fā)起了29622個TCP 同步數據包,而結束數據包和復位數據包分別是3253和1387個。結合上面對該主機連接的分析,基本確定主機(10.8.24.11)感染蠕蟲病毒。
圖4 TCP數據包對比圖
#p#
4.故障解決
主機10.8.24.11 感染蠕蟲病毒,病毒自動通過網絡與其它主機的TCP445端口建立連接,試圖感染其它主機,這樣嚴重耗費網絡資源,造成網絡整體性能下降,嚴重時可使網絡大面積感染病毒,引發(fā)網絡的主機全部癱瘓。將主機10.8.24.11與網絡隔離,并對其進行病毒查殺,查殺后再重新接入網絡。
5.故障重現
本來以為事情結束了,誰知不到一天,網絡管理員又告訴我,公司的網絡流速時好時壞,雖然沒有上次大面積長時間的停滯,而是很有規(guī)律地在上班時間發(fā)生網絡擁堵,網速緩慢。
6.故障分析
首先用網絡分析軟件在網絡的中心節(jié)點上進行抓包,抓包時間20分鐘。通過分析發(fā)現有大流量的數據從外網通過路由器轉發(fā)到一個MAC地址為00-0A-E6-98-84-B7的主機上。數據流占了整個從外網流入數據的80%以上。通過查看管理員整理的MAC列表,找到這臺主機。這是一臺文件服務器,主要用來企業(yè)文件的共享。這讓人費解,為什么會有外網的數據轉發(fā)到它呢?馬上對這臺服務器進行檢查,檢查結果讓該企業(yè)的管理員非常驚訝,這臺文件服務器竟然被配置成了代理主機!
圖5 故障分析結果顯示
難道這臺文件服務器被人入侵了?我感覺事情沒有那么簡單,入侵者為什么要把它配置成代理服務器呢?難道入侵的不僅僅是這臺服務器,連路由器也被入侵了嗎?從管理員出得到得知路由器密碼,然后登錄進去。果然發(fā)現有人在路由器上做了設置,有許多端口轉發(fā)到了這臺文件服務器上。
現在思路非常清楚了:有人首先入侵了文件服務器,然后把它配置成代理服務器。接著利用獲得的管理員密碼,控制了路由器,在路由器上設置了端口轉發(fā),把外網的數據轉發(fā)到文件服務器上,最后在自己的主機上設置代理上網,通過P2P軟件下載大型文件或者看電影、玩游戲,造成網絡擁堵。
為什么要進行這樣做呢?原來企業(yè)規(guī)定員工不能聯入Internet,并且在路由器上做了限制。很明顯有人不甘寂寞突破了封鎖,在上班時間聯入Internet。那他又是如何控制路由器的呢?通過剛才登錄路由器,我發(fā)現路由器采用的是默認的用戶名,密碼是英文和數字的組合。好像是姓名和電話號碼,通過問管理員得到了肯定的回答。不入侵才怪呢?原來入侵者通過社會工程學得知了路由器的密碼然后控制了路由器。
7.故障解決
接下來的是就是找到入侵者,同樣運用網絡分析軟件。首先取消這臺文件服務器的文件共享功能,簡化數據捕獲,設置好網絡監(jiān)控軟件然后蹲點。不一會兒,就獲得了大量的數據,通過對數據的分析,很快確定了幾個可疑的MAC地址。根據MAC地址列表找到了主機。然后恢復文件服務器的共享功能,取消代理。路由器重新設置復雜的密碼。
圖6 流量分析結果顯示的IP
事后了解到確實是某人突破了文件服務器和路由器后進行了設置,然后告訴了幾個朋友,通過代理來上網。想想P2P下載,看電影,玩游戲,網絡速度能不慢嗎?
總結:這兩起與路由器有關的案例,說到本質上不怨路由器,都是人為的因素。做為網絡的管理員,一定要保護好網絡的關鍵組件,設置強密碼。另外,我們在解決網絡故障的時候,靈活運用網絡分析軟件可以起到事半功倍的效果。
【編輯推薦】
