一、不堪重负的路由器
1.故障描述
笔者的几个朋友赶在暑期前各自开了个不大的网吧,网吧中有七八十台计算机。他们都反映在上网的时候,有时候莫名其妙地出现一种奇怪的现象:在某一个时间内有的计算机不能正常上网,但其他计算机却能正常上网。比如,同一个服务器连接的两台计算机正在玩网络游戏,当出现上述现象时,一台计算机可能仍在网络中进行游戏,而另一台计算机却断线了,然后无论如何都不能进入游戏了,且连网页都不能正常打开。
2.故障分析
通过朋友的描述,笔者发现他们的网吧都使用了同样的网络拓扑结构,通过光纤级联交换机,交换机连到路由器上,从网吧的网络都出现了相同的问题看,引发这几家网吧网络出问题的原因应该是一样的。
笔者赶到朋友们的网吧进行了查看,由于局域网中的各个计算机都可以正常连接,所以怀疑故障不是出在交换机上的,而应该出在路由器上。检查网吧路由器,发现这几家网吧为了节省成本,购买的都是一些价格很便宜的低档路由器。笔者怀疑可能因为这些路由器性能太差而无法“带”太多的用户同时上网。于是笔者从单位机房借来了一台高档路由器,安装后,网吧中的计算机全都能够正常上网,运行了两天,没有发现不能上网的现象。原来是路由器性能太差导致故障出现。
3.故障解决
由于本次故障是路由器性能较差引起的,笔者便建议朋友购买一台高档路由器。但是,朋友只是把网吧当做赚钱的工具,舍不得花太多钱在网络设备上面。最后,笔者只有将网吧内的一台闲置的服务器设置成一个代理服务器供一些计算机共享上网,而路由器则连接另外一些计算机上网。配置完成后,经过一段时间的测试、运行,现有网络的网速虽然赶不上使用高档路由器时的网速,但也没出现什么问题,网络运行也算稳定,在没有增加开支的情况下故障得到了解决。
4.总结
大部分网吧都是以盈利为目的,很多人采用的措施就是节省资金,购买一些较便宜的设备。这样虽然把价钱省下来了,设备性能却降低了,而网民们却都是哪家网吧的计算机好、网络好就去那家,网吧的网络不好自然吸引不了顾客,添加设备势必又会浪费一部分资金。因些,网吧在搭建网络时,不仅要省钱,更要注重网络性能,事先了解网吧的规模以及运作方式,选择合适的网络设备搭建结构合理的网络,才能使网吧赚钱。真是不堪重负的路由器如何能担当起网吧老板赚钱的重任?#p#
二、被劫持的路由器
1.故障描述
笔者本地的一家中型企业的网络出了故障,据管理员反应主要症状为:公司网络网速缓慢,且出现延迟的现象。登录服务器半天没有响应,时常提示超时。初步判断,网络中有异常数据流,因为网络中的交换机和路由器灯常明、狂闪。
2.网络环境
根据该公司管理人员提供的信息,该公司内网在三层交换处划分了VLAN,最后通过路由器与Internet 连接,网内大概有200台电脑。网络拓扑图如下:
图1 某企业网络拓扑图
3.诊断分析
笔者做为一名协助人员对这家企业的网络故障进行了分析。个人感觉该集团公司在网络管理上力度不够,网络部署不严密。初步判断网络中存在ARP欺骗,ARP风暴吞噬了网络带宽,影响了网络响应的速度。
由于主机数量比较大,逐个手动查找肯定是麻烦的,于是通过网络分析软件来查找故障主机。经过一些镜像设置,我将“科来网络分析软件”安装到笔记本上,并接入到该公司的中心交换设备的镜像端口处抓包,30分钟过去了,停止捕获并开始分析。关键数据还是很多的,通过查看捕获的数据包,我第一感觉是该公司的网络可能感染了蠕虫病毒,该病毒在在网络中感染其它的主机,产生了数据风暴,使网络性能下降。
我首先查看“诊断视图”,发现在“诊断视图”中“TCP重复的连接尝试”很多,居然达到了31126次,这是很不正常的情况。为了找到更多的“证据”来证明,在“端点视图”按网络连接排序,发现10.8.24.11这台主机的网络连接数名列榜首。
图2 诊断视图
这时我定位分析这台主机(10.8.24.11),查看“会话视图”中的TCP 连接情况,发现全是10.8.24.11向目的主机的445端口发起的连接。这恰好证明了我的猜测,该主机可能感染蠕虫病毒,且该病毒正在试图感染其它主机。
图3 会话连接示意图
然后在“概要统计”里,查看主机10.8.24.11的TCP数据包情况,在30分12秒的时间里,10.8.24.11主机共发起了29622个TCP 同步数据包,而结束数据包和复位数据包分别是3253和1387个。结合上面对该主机连接的分析,基本确定主机(10.8.24.11)感染蠕虫病毒。
图4 TCP数据包对比图
#p#
4.故障解决
主机10.8.24.11 感染蠕虫病毒,病毒自动通过网络与其它主机的TCP445端口建立连接,试图感染其它主机,这样严重耗费网络资源,造成网络整体性能下降,严重时可使网络大面积感染病毒,引发网络的主机全部瘫痪。将主机10.8.24.11与网络隔离,并对其进行病毒查杀,查杀后再重新接入网络。
5.故障重现
本来以为事情结束了,谁知不到一天,网络管理员又告诉我,公司的网络流速时好时坏,虽然没有上次大面积长时间的停滞,而是很有规律地在上班时间发生网络拥堵,网速缓慢。
6.故障分析
首先用网络分析软件在网络的中心节点上进行抓包,抓包时间20分钟。通过分析发现有大流量的数据从外网通过路由器转发到一个MAC地址为00-0A-E6-98-84-B7的主机上。数据流占了整个从外网流入数据的80%以上。通过查看管理员整理的MAC列表,找到这台主机。这是一台文件服务器,主要用来企业文件的共享。这让人费解,为什么会有外网的数据转发到它呢?马上对这台服务器进行检查,检查结果让该企业的管理员非常惊讶,这台文件服务器竟然被配置成了代理主机!
图5 故障分析结果显示
难道这台文件服务器被人入侵了?我感觉事情没有那么简单,入侵者为什么要把它配置成代理服务器呢?难道入侵的不仅仅是这台服务器,连路由器也被入侵了吗?从管理员出得到得知路由器密码,然后登录进去。果然发现有人在路由器上做了设置,有许多端口转发到了这台文件服务器上。
现在思路非常清楚了:有人首先入侵了文件服务器,然后把它配置成代理服务器。接着利用获得的管理员密码,控制了路由器,在路由器上设置了端口转发,把外网的数据转发到文件服务器上,最后在自己的主机上设置代理上网,通过P2P软件下载大型文件或者看电影、玩游戏,造成网络拥堵。
为什么要进行这样做呢?原来企业规定员工不能联入Internet,并且在路由器上做了限制。很明显有人不甘寂寞突破了封锁,在上班时间联入Internet。那他又是如何控制路由器的呢?通过刚才登录路由器,我发现路由器采用的是默认的用户名,密码是英文和数字的组合。好像是姓名和电话号码,通过问管理员得到了肯定的回答。不入侵才怪呢?原来入侵者通过社会工程学得知了路由器的密码然后控制了路由器。
7.故障解决
接下来的是就是找到入侵者,同样运用网络分析软件。首先取消这台文件服务器的文件共享功能,简化数据捕获,设置好网络监控软件然后蹲点。不一会儿,就获得了大量的数据,通过对数据的分析,很快确定了几个可疑的MAC地址。根据MAC地址列表找到了主机。然后恢复文件服务器的共享功能,取消代理。路由器重新设置复杂的密码。
图6 流量分析结果显示的IP
事后了解到确实是某人突破了文件服务器和路由器后进行了设置,然后告诉了几个朋友,通过代理来上网。想想P2P下载,看电影,玩游戏,网络速度能不慢吗?
总结:这两起与路由器有关的案例,说到本质上不怨路由器,都是人为的因素。做为网络的管理员,一定要保护好网络的关键组件,设置强密码。另外,我们在解决网络故障的时候,灵活运用网络分析软件可以起到事半功倍的效果。
【编辑推荐】
