如何解救被劫持的路由器?

什么是路由劫持?路由劫持可能是上层交换机或者电信核心交换机出现了故障 。如果是这种原因 , 公司网络内部仍然是畅通的 , 路由器和交换机设备处于工作正常状态 。那发生这种情况要怎么操作呢?下面我们就一起来看看吧 。

如何解救被劫持的路由器?

文章插图
一、案例再现——路由器被劫持了!
1、故障描述
某公司的内网是在三层交换处划分的VLAN , 最后通过路由器与远程连接 , 网内有近二百台主机 。前段时间网络出现了这样一个故障:公司网络网速缓慢 , 且出现 延迟现象 , 登录服务器很久都没有响应 , 时常提示超时 。当初判断是网络中有异常数据流 , 因为网络中的交换机和路由器灯长明、狂闪xp系统下载 。
2、定位中毒客户端
最初以为公司网络部署不严密或者在网络中存在ARP欺骗 , ARP风暴吞噬了网络带宽 , 影响了网络速度 。鉴于接入网络机器太多 , 手动全部查找很麻烦 , 决定借 助分析软件来查 。将安装软件的笔记本接入到中心交换机端口 , 经过一个小时 , 根据软件得到的数据分析 , 感觉是感染了蠕虫病毒 , 是些病毒在网络中感染了其他机 器 , 产生了数据风暴 , 使网络性能下降 。
根据软件“诊断视图” 中显示的连接尝试 , 发现有一台IP为172.16.56.7的主机不正常 。进行定位分析后 , 判断此主机可能感染了蠕虫病毒 , 且该病毒正在试图感染其他主 机 。病毒自动通过网络与其他主机的TCP 445端口建立连接 , 试图感染其他主机 , 严重消耗了网络资源 , 造成网络性能下降 , 严重时会使整个网络瘫痪 。于是对此主机进行了隔离 , 病毒查杀后 , 重新接入 网络 。
3、故障重现
本以为问题得到解决 , 可第二天又出现了以前的情况 , 只是没有以前大面积长时间断网或停滞 , 还是有规律地发生网络拥堵 , 网速缓慢 。再次用分析软件进行抓包分析 , 通过分析发现大流量的数据是从外网通过路由器转发到一个MAC地址为00- A0-D1-E5-17-05的主机上 , 这个数据占了外网流入量的80%以上 。通过档案资料查到了此主机为一台服务器 , 主要用来实现内部文件共享的文件服 务器 。通过对此服务器进行检查 , 结果发现此服务器配置成了代理服务器 , 怀疑被人入侵了 。
那么为什么配成代理服务器呢?是不是路由器也被入侵了?登录路由器 , 发现路由器设置了端口转发 , 许多端口转发都转到了这台文件服务器上 。现在原因已经很清楚了 , 有人入侵了此文件服务器 , 并将它设置成了代理服务器 , 然后控制了路由器 , 在路由器上设置了端口转发 , 把外网数据转到服务器上 , 最后在自己的机器上设置代理上网 , 通过P2P软件大量下载造成网络拥堵系统下载 。因为公司规定除个别机器可以上网外 , 绝大部分机器不能接入Internet网 , 所以通过路由器进行了限制 。由于公司路由器采用的是默认用户名 , 只是简单地设置了密码 , 这样路由器就被控制了 。
4、故障彻底解决
运行网络分析软件 , 首先取消了文件服务器的文件共享 , 设置网络监控软件 , 很快获得了大量数据 。根据几个可疑MAC及所存的档案 , 很快找到了相应的主机 。然后恢复文件服务器共享功能 , 取消代理服务器设置 , 重新设置路由器密码 。至此问题彻底解决 。
二、深入拓展——如何解救被劫持的路由?
也许 , 上面的案例比较特殊 。其实 , 网络运维中类似的案例还是比较多的 , 其原因也是非常复杂的 。下面谈谈造成类似故障的排错思路和排错流程 。

推荐阅读