服务项目
联系方式
电话:020-87518715
商务QQ:2385004338
商务QQ:2295422440
地址:beplay体育安卓下载链接市天河区龙口西路100号中明大厦1601
病毒导致路由器过载重启
作者:PICUS 发布时间:2012-9-12 阅读:4610

    
我接到一个求助电话,说他的机器不能上网了。主机所在的虚网和网络中心不在同一个虚网中。说5分钟前还能上网),现在不知道为什么就不好上网了。而且他的机器(安装的系统为WindowsXP)最近没有安装什么新的程序,没有移动过电脑,也没有拔过网线。
   
    首先,排查网络客户端的错误配置。进入MSDOS方式使用IPCONFIG命令检查主机的IP地址配置:
   
    C:>ipconfig
   
    Windows IP Configuration
   
    Ethernet adapter 本地连接:
   
    Connection-specific DNS Suffix  . :
   
    IP Address. . . . . . . . . . . . :  210.16.2.30
   
    Subnet Mask . . . . . . . . . . . : 255.255.255.0
   
    Default Gateway . . . . . . . . . 210.16.2.1
   
    上面显示的配置是正确的,然后ping自己的IP地址
   
    C:> ping 210.16.2.30
   
    Reply from 210.16.2.30: bytes=32 time<1ms TTL=128
   
    Reply from 210.16.2.30: bytes=32 time<1ms TTL=128
   
    这说明IP地址是生效的,网卡工作正常。
   
    再使用PING命令,测试从本机到网关的连接情况:
   
    C:> ping 210.16.2.1 –t
   
    Reply from 210.16.2.1: bytes=32 time<1ms TTL=128
   
    Reply from 210.16.2.1: bytes=32 time<1ms TTL=128
   
    ……
   
    从主机向网关发送的数据包全部都得到了回应,线路是连通的。打开浏览器,也能够正常上网没问题。现在的网络是正常的!?忽然,网络又不通了!发现ping出的数据包未能到达网关。难道是网卡或者系统有问题?谁知过了一会儿,发现又通了。于是我把台式机上的网线插到自带的笔记本电脑上,配置好IP地址后ping网关,也出现时断时续的情况。断开的现象大概持续了50秒钟,然后又恢复正常。基本排除主机的问题(因为两台不相干主机同时出现同样此类问题的几率几乎为零)。排除了连接线缆的故障

于是检查二层交换机上(这是一个由两台交换机的堆叠,其中一台交换机上有一个上联的千兆端口),把笔记本接到交换机的其中一个端口上,再ping网关。故障仍然,而且每过4分钟到 10分钟,网络就会断一次,并且40到50秒后又恢复正常。但是没有发现端口指示灯的异常,说明交换机的各个端口均正常。

 

重启交换机,故障依旧。忽然另外一个又报障.他的机器也出现相同的故障现象(前提:他主机在另外一个虚网中)于是判断是连接这两个虚网的路由器出了问题。
    
   从路由器的外部指示灯上看,没什么异常现象。将一台机器直接连在路由器的百兆模块上上ping路由器的地址,也是时通时断。我又继续观察了一段时间,发现每过4分钟到10分钟,路由器所有模块的指示灯都会同时熄灭,接着控制模块上的 “HBT”灯闪烁,然后“OK”灯亮起,最后所有模块的指示灯均显示Online.("HBT"灯闪烁表示路由器正在启动,也就是说正在自动重启,而且40秒左右的网络断开时间正好是路由器的重启所需的时间。    
    趁着路由器正常工作的时候,把笔记本的COM口使用路由器的专用CONSOLE线连接起来,建立超级终端。在管理模式下使用命令 “systemshowbootlog”查看系统的启动记录,发现各个模块的加载均属正常。造成路由器重启的原因,最大的可能就是CPU的利用率达到 100%.使用“system show cpu-utilization”命令查看CPU的使用率:
   
    SSR# system show cpu-utilization
   
    CPU Utilization (5 seconds):  50%
   
    (60 seconds): 60%(前者是指5秒钟内CPU平均使用率为50%,
   
    后者是60秒钟内CPU平均使用率为60%)
   
    果然,连续使用此命令后得知CPU利用率正在逐渐上升,当达到95%的时候路由器便自动重启。看来路由器的负载太大了,因为平时正常情况下,CPU的使用率仅为1%-6%左右。当网络使用高峰期的时候CPU的利用率会稍微高一点。但到底是什么让路由器过载呢?用“system show syslog buffer”命令来查看当前系统缓存中的日志记录:
   
    SSR# system show syslog buffer
   
    2003-09-10 09:28:32 %ACL_LOG-I-DENY, ACL [out]
   
    on “uplink” ICMP 210.16.3.82 -> 210.55.37.72
   
    2003-09-10 09:28:32 %ACL_LOG-I-PERMIT, ACL [out]
   
    on “uplink” ICMP 210.16.3.82 -> 61.136.65.13
   
    2003-09-10 09:28:32 %ACL_LOG-I-DENY, ACL [out]
   
    on “uplink” ICMP 210.16.3.82 -> 202.227.100.65
   
    2003-09-10 09:28:32 %ACL_LOG-I-DENY, ACL [out]
   
    on “uplink” ICMP 210.16.3.82 -> 193.210.224.202
   
    2003-09-10 09:28:32 %ACL_LOG-I-DENY, ACL [out]
   
    on “uplink” ICMP 210.16.3.82 -> 218.32.21.101
   
    ……
   
    很明显,“210.16.3.82”这台在使用ICMP协议向其他主机发起攻击,据此判断,这台主机要么是中毒,要么是被黑客利用了。鉴于当时的情况分析,可能是网络中存在中了“冲击波杀手”病毒的主机。该病毒使用类型为echo的ICMP报文来ping根据自身算法得出的ip地址段,以此检测这些地址段中存活的主机,并发送大量载荷为“aa”,填充长度92字节的icmp报文,从而导致网络堵塞。而且病毒一旦发现存活的主机,便试图使用135端口的 rpc漏洞和80端口的webdav漏洞进行溢出攻击。溢出成功后会监听69(TFTP专业端口,用于文件下载)端口和666-765(通常是707端口)范围中的一个随机端口等待目标主机回连。
   
    根据该病毒的传播机理,立刻在路由器上设置访问控制列表(ACL),以阻塞UDP协议的69端口(用于文件下载)、TCP的端口135(微软的DCOM RPC端口)和ICMP协议(用于发现活动主机)。具体的ACL配置如下:
   
    ! --- block ICMP
   
    acl deny-virus deny icmp any any
   
    ! --- block TFTP
   
    acl deny-virus deny udp any any any 69
   
    ! --- block W32.Blaster related protocols
   
    acl deny-virus deny tcp any any any 135
   
    acl deny-virus permit tcp any any any any
   
    acl deny-virus permit udp any any any any
   
    最后再把deny-virus这个ACL应用到上联接口(uplink)上:
   
    acl deny-virus apply interface uplink input output
    
    把“冲击波杀手”从网络的出口处堵截住。为了防止已经感染“冲击波杀手”的主机在各个虚网之间传播,把这个ACL应用到各虚网的接口上。这时使用再“system showcpu-utilization”查看CPU的使用率,它又恢复到正常状态,等待了一段时间后,再没有出现重启现象。
   
    由于路由器不能自动丢弃这种病毒发出的攻击数据包,而导致了路由器重启。为了彻底解决问题,还得升级路由器的IOS(可以使用“system showversion”来查看当前使用的IOS的版本)。至此,路由器故障全部解决。
    
   

 
 

beplay体育安卓下载链接啄木鸟计算机服务有限公司 版权所有
Copyright © 2010-2021 Powered by picusIT 粤ICP备11080526号-1