當(dāng)前位置 : 首頁>網(wǎng)絡(luò)\服務(wù)器>學(xué)堂>正文

路由器一般故障與特殊故障的解決

http://www.yibo1263.com　2008-7-12 7:20:57 　來源:本站　編輯:葉子

　　SSR# system show syslog buffer

　　2003-09-10 09:28:32 %ACL_LOG-I-DENY, ACL [out]

　　on "uplink" ICMP 210.16.3.82 -> 210.55.37.72

　　2003-09-10 09:28:32 %ACL_LOG-I-PERMIT, ACL [out]

　　on "uplink" ICMP 210.16.3.82 -> 61.136.65.13

　　2003-09-10 09:28:32 %ACL_LOG-I-DENY, ACL [out]

　　on "uplink" ICMP 210.16.3.82 -> 202.227.100.65

　　2003-09-10 09:28:32 %ACL_LOG-I-DENY, ACL [out]

　　on "uplink" ICMP 210.16.3.82 -> 193.210.224.202

　　2003-09-10 09:28:32 %ACL_LOG-I-DENY, ACL [out]

　　on "uplink" ICMP 210.16.3.82 -> 218.32.21.101

　　………………

　　很明顯，“210.16.3.82”這臺(tái)在使用ICMP協(xié)議向其他主機(jī)發(fā)起攻擊，據(jù)此判斷，這臺(tái)主機(jī)要么是中毒，要么是被黑客利用了。鑒于當(dāng)時(shí)的情況分析，可能是網(wǎng)絡(luò)中存在中了“沖擊波殺手”病毒的主機(jī)。該病毒使用類型為echo的ICMP報(bào)文來ping根據(jù)自身算法得出的ip地址段，以此檢測(cè)這些地址段中存活的主機(jī)，并發(fā)送大量載荷為“aa”，填充長度92字節(jié)的icmp報(bào)文，從而導(dǎo)致網(wǎng)絡(luò)堵塞。而且病毒一旦發(fā)現(xiàn)存活的主機(jī)，便試圖使用135端口的rpc漏洞和80端口的webdav漏洞進(jìn)行溢出攻擊。溢出成功后會(huì)監(jiān)聽69（TFTP專業(yè)端口，用于文件下載）端口和666-765（通常是707端口）范圍中的一個(gè)隨機(jī)端口等待目標(biāo)主機(jī)回連。

　　根據(jù)該病毒的傳播機(jī)理，立刻在路由器上設(shè)置訪問控制列表（ACL），以阻塞UDP協(xié)議的69端口（用于文件下載）、TCP的端口135（微軟的DCOM RPC端口）和ICMP協(xié)議（用于發(fā)現(xiàn)活動(dòng)主機(jī)）。具體的ACL配置如下：

　　! --- block ICMP

　　acl deny-virus deny icmp any any

　　! --- block TFTP

　　acl deny-virus deny udp any any any 69

　　! --- block W32.Blaster related protocols

　　acl deny-virus deny tcp any any any 135

　　acl deny-virus permit tcp any any any any

　　acl deny-virus permit udp any any any any

　　最后再把deny-virus這個(gè)ACL應(yīng)用到上聯(lián)接口（uplink）上：

　　acl deny-virus apply interface uplink input output

　　這樣就可以把“沖擊波殺手”從網(wǎng)絡(luò)的出口處堵截住。為了防止已經(jīng)感染“沖擊波殺手”的主機(jī)在校內(nèi)各個(gè)虛網(wǎng)之間傳播，還得把這個(gè)ACL應(yīng)用到校內(nèi)各虛網(wǎng)的接口上。這時(shí)使用再“system show cpu-utilization”查看CPU的使用率，它又恢復(fù)到正常狀態(tài)，等待了一段時(shí)間后，再?zèng)]有出現(xiàn)重啟現(xiàn)象。

　　由于路由器不能自動(dòng)丟棄這種病毒發(fā)出的攻擊數(shù)據(jù)包，而導(dǎo)致了路由器重啟。為了徹底解決問題，還得升級(jí)路由器的IOS（可以使用“system show version”來查看當(dāng)前使用的IOS的版本）。記得兩年前在“紅色代碼”病毒盛行的時(shí)候，也出現(xiàn)過路由器因過載而不斷重啟的現(xiàn)象，升級(jí)IOS以后就恢復(fù)正常了。于是立刻和設(shè)備供應(yīng)商取得聯(lián)系并獲得最新的IOS映像文件。至此，路由器故障全部解決。

　　從這場(chǎng)故障處理中，我們可以得到這樣的教訓(xùn)：時(shí)刻關(guān)注網(wǎng)絡(luò)上事態(tài)的發(fā)展，并作出相應(yīng)的解決方案，而且付諸實(shí)施。教育網(wǎng)用戶可以在http://www.ccert.edu.cn網(wǎng)站上訂閱安全公告服務(wù)，一旦有新的漏洞出現(xiàn)，CCERT安全響應(yīng)小組會(huì)自動(dòng)發(fā)送郵件給你。當(dāng)時(shí)暑假期間得知“沖擊波”后，由于及時(shí)在路由器上做了設(shè)置，所以“沖擊波”病毒沒有在網(wǎng)內(nèi)泛濫，但隨后的“沖擊波殺手”沒有及時(shí)設(shè)置相應(yīng)的ACL，所以才導(dǎo)致這次的網(wǎng)絡(luò)癱瘓。實(shí)際上，在這次的“沖擊波”和“沖擊波殺手”的襲擊中，很多城域網(wǎng)也因此陷入癱瘓。這些經(jīng)歷一次又一次的警告我們：時(shí)刻關(guān)注網(wǎng)絡(luò)安全，及時(shí)積極的應(yīng)對(duì)。

　　故障二：ICMP Redirect

　　這是個(gè)什么問題呢？首先給大家描述一下。雖然路由器在運(yùn)行時(shí)沒有出現(xiàn)明顯的異�，F(xiàn)象，但是卻經(jīng)�？吹竭@樣的日志：

本新聞共11頁,當(dāng)前在第05頁
01  02  03  04  05  06  07  08  09  10
11

【收藏】【打印】【進(jìn)入論壇】

相關(guān)文章：

·路由器ATM接口ping自己測(cè)試環(huán)路

·兩臺(tái)路由器之間建立鄰接關(guān)系的過程

·路由器密碼忘記五步暴力破解

·思科路由器常用配置命令大全

·從路由器入手改善網(wǎng)絡(luò)的安全性

·企業(yè)如何克服多功能路由器的效能瓶頸？

·俠諾路由器新增炒股與視頻雙封鎖

·家庭實(shí)用首選斐訊FR606無線路由器評(píng)測(cè)

·搭建穩(wěn)定安全的網(wǎng)絡(luò) 小型網(wǎng)吧路由器推薦

·用橋接解決網(wǎng)絡(luò)路由器的IP配置參數(shù)

·為路由器減負(fù)：關(guān)閉不需要的服務(wù)

亚洲AV无码乱码在线观看不卡|最新大伊香蕉精品视频在线|亚洲不卡av一区二区|国产美女无遮挡免费