當(dāng)前位置 : 首頁>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

路由器一般故障與特殊故障的解決

http://www.yibo1263.com　2008-7-12 7:20:57 　來源:本站　編輯:葉子

　　SSR# system show syslog buffer

　　2003-09-10 09:28:32 %ACL_LOG-I-DENY, ACL [out]

　　on "uplink" ICMP 210.16.3.82 -> 210.55.37.72

　　2003-09-10 09:28:32 %ACL_LOG-I-PERMIT, ACL [out]

　　on "uplink" ICMP 210.16.3.82 -> 61.136.65.13

　　2003-09-10 09:28:32 %ACL_LOG-I-DENY, ACL [out]

　　on "uplink" ICMP 210.16.3.82 -> 202.227.100.65

　　2003-09-10 09:28:32 %ACL_LOG-I-DENY, ACL [out]

　　on "uplink" ICMP 210.16.3.82 -> 193.210.224.202

　　2003-09-10 09:28:32 %ACL_LOG-I-DENY, ACL [out]

　　on "uplink" ICMP 210.16.3.82 -> 218.32.21.101

　　………………

　　很明顯，“210.16.3.82”這臺在使用ICMP協(xié)議向其他主機發(fā)起攻擊，據(jù)此判斷，這臺主機要么是中毒，要么是被黑客利用了。鑒于當(dāng)時的情況分析，可能是網(wǎng)絡(luò)中存在中了“沖擊波殺手”病毒的主機。該病毒使用類型為echo的ICMP報文來ping根據(jù)自身算法得出的ip地址段，以此檢測這些地址段中存活的主機，并發(fā)送大量載荷為“aa”，填充長度92字節(jié)的icmp報文，從而導(dǎo)致網(wǎng)絡(luò)堵塞。而且病毒一旦發(fā)現(xiàn)存活的主機，便試圖使用135端口的rpc漏洞和80端口的webdav漏洞進(jìn)行溢出攻擊。溢出成功后會監(jiān)聽69（TFTP專業(yè)端口，用于文件下載）端口和666-765（通常是707端口）范圍中的一個隨機端口等待目標(biāo)主機回連。

　　根據(jù)該病毒的傳播機理，立刻在路由器上設(shè)置訪問控制列表（ACL），以阻塞UDP協(xié)議的69端口（用于文件下載）、TCP的端口135（微軟的DCOM RPC端口）和ICMP協(xié)議（用于發(fā)現(xiàn)活動主機）。具體的ACL配置如下：

　　! --- block ICMP

　　acl deny-virus deny icmp any any

　　! --- block TFTP

　　acl deny-virus deny udp any any any 69

　　! --- block W32.Blaster related protocols

　　acl deny-virus deny tcp any any any 135

　　acl deny-virus permit tcp any any any any

　　acl deny-virus permit udp any any any any

　　最后再把deny-virus這個ACL應(yīng)用到上聯(lián)接口（uplink）上：

　　acl deny-virus apply interface uplink input output

　　這樣就可以把“沖擊波殺手”從網(wǎng)絡(luò)的出口處堵截住。為了防止已經(jīng)感染“沖擊波殺手”的主機在校內(nèi)各個虛網(wǎng)之間傳播，還得把這個ACL應(yīng)用到校內(nèi)各虛網(wǎng)的接口上。這時使用再“system show cpu-utilization”查看CPU的使用率，它又恢復(fù)到正常狀態(tài)，等待了一段時間后，再沒有出現(xiàn)重啟現(xiàn)象。

　　由于路由器不能自動丟棄這種病毒發(fā)出的攻擊數(shù)據(jù)包，而導(dǎo)致了路由器重啟。為了徹底解決問題，還得升級路由器的IOS（可以使用“system show version”來查看當(dāng)前使用的IOS的版本）。記得兩年前在“紅色代碼”病毒盛行的時候，也出現(xiàn)過路由器因過載而不斷重啟的現(xiàn)象，升級IOS以后就恢復(fù)正常了。于是立刻和設(shè)備供應(yīng)商取得聯(lián)系并獲得最新的IOS映像文件。至此，路由器故障全部解決。

　　從這場故障處理中，我們可以得到這樣的教訓(xùn)：時刻關(guān)注網(wǎng)絡(luò)上事態(tài)的發(fā)展，并作出相應(yīng)的解決方案，而且付諸實施。教育網(wǎng)用戶可以在http://www.ccert.edu.cn網(wǎng)站上訂閱安全公告服務(wù)，一旦有新的漏洞出現(xiàn)，CCERT安全響應(yīng)小組會自動發(fā)送郵件給你。當(dāng)時暑假期間得知“沖擊波”后，由于及時在路由器上做了設(shè)置，所以“沖擊波”病毒沒有在網(wǎng)內(nèi)泛濫，但隨后的“沖擊波殺手”沒有及時設(shè)置相應(yīng)的ACL，所以才導(dǎo)致這次的網(wǎng)絡(luò)癱瘓。實際上，在這次的“沖擊波”和“沖擊波殺手”的襲擊中，很多城域網(wǎng)也因此陷入癱瘓。這些經(jīng)歷一次又一次的警告我們：時刻關(guān)注網(wǎng)絡(luò)安全，及時積極的應(yīng)對。

　　故障二：ICMP Redirect

　　這是個什么問題呢？首先給大家描述一下。雖然路由器在運行時沒有出現(xiàn)明顯的異�，F(xiàn)象，但是卻經(jīng)�？吹竭@樣的日志：

本新聞共11頁,當(dāng)前在第05頁
01  02  03  04  05  06  07  08  09  10
11

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·路由器ATM接口ping自己測試環(huán)路

·兩臺路由器之間建立鄰接關(guān)系的過程

·路由器密碼忘記五步暴力破解

·思科路由器常用配置命令大全

·從路由器入手改善網(wǎng)絡(luò)的安全性

·企業(yè)如何克服多功能路由器的效能瓶頸？

·俠諾路由器新增炒股與視頻雙封鎖

·家庭實用首選斐訊FR606無線路由器評測

·搭建穩(wěn)定安全的網(wǎng)絡(luò) 小型網(wǎng)吧路由器推薦

·用橋接解決網(wǎng)絡(luò)路由器的IP配置參數(shù)

·為路由器減負(fù)：關(guān)閉不需要的服務(wù)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费