2.3.26 “嗅探”路由器故障
大庆 李志伟 吴钧 薛颖 吴春岩
随着Internet的高速发展,局域网络技术在企业、研究部门生产、管理、科研中得到广泛的应用。局域网上连往往要配置管理核心路由器和核心交换机,从而实现上连广域网和Internet。核心路由器状态的好坏直接影响整个局域网的性能。本文通过运用嗅探技术和路由管理技术完成了对核心设备网络故障排除的成功事例。
笔者在一个研究院工作,我院局域网骨干网采用ATM技术搭建,核心交换机为Fore7110并且有路由功能,通过以太网仿真ELAN技术,下连3台Fore7105构成研究院ATM骨干网,上连企业ATM网。网络拓扑为星型树结构。拥有10.65.100.0—10.65.111.0九个子网段,共2300个IP地址资源,足以满足我院 1248台PC电脑、138台工作站和网络交换设备对节点的需求。
研究院局域网光纤线路覆盖大小建筑34幢,共有信息点1150个。在Internet服务方面有域名服务系统、电子邮件系统和Web站点。
故障的出现
我院的Fore7100是支持最大交换1.6G带宽的具有路由功能的核心交换设备,一天,该交换机出现如下现象:
工作状态指示异常繁忙,交换速度极慢,又没有其它特征。网络连通测试(ping)是通的。单响应时间慢到300ns-900ns不等。Fore7010交换机的路由包监测发现无效路由包在极短的时间内增长很快,数量级为105~106甚至107。仅仅在10秒种内,有效的路由服务就瘫痪了,形成了网络安全上称为拒绝服务的攻击。
我们直接进入到 Fore7110交换机 ( 10.60.11.62),用stats命令显示路由记录信息。
Telnet 10.60.11.62 |
(交换机无法发送的无效路由请求数)
经过查看显示的路由记录信息,发现8.3,8.5,8.6端口无效路由包请求增长很快。
检测过程
我们决定对Fore7110显示的几个无效路由包增加过快的几个端口进行监测。在没有相应的网络性能分析仪(Sniffer网络分析仪)的情况下,我们决定通过修改Fore的VLAN将需要监测的8.3、8.5、8.6等端口与具有snoop功能的Sun工作站jsz3上连口8.1划分到同一VLAN中。同时通过Fore7110 监控Monitor端口命令。需要注意:使用monitor 命令对交换设备有较大的性能的影响。
步骤1: 登录核心交换机
Telnet 10.60.11.62 |
执行jsz3的solaris系统的Snoop命令,进一步对1.1、8.3、8.5、8.6几个端口packet进行监视,发现IP地址分属于8.3、8.6端口的10.60.12.17、10.60.12.59、10.60.10.57的机器发送大量的路由包,8.5端口正常。确定了机器IP后我们自然想到为什么会有大量的路由请求呢?。以Sun工作站(10.60.10.57)为例。通过远程登录该机器。我们执行solaris系统的Snoop命令。
步骤2:远程登录
#Telnet 10.60.10.57 |
该机器发送的以“ 0.22.*.*” 为IP地址的无效路由请求数量很大。
步骤3:在这台机器上显示进程
#ps-eaf|more |
发现/Dev/cuc目录下的可疑执行文件chinaworm.exe及相关tar文件,并证明该文件为病毒。这就是故障的原因。
解决的方法
删掉该文件,关闭相关的远程网络服务。机器和交换机、网络都恢复了正常。通过Sun上执行#snoop命令可以显示无效路由包数量的增加降为101-102数量级。归于正常的增长范围。
在这次排除故障的工作中,我们运用现有的网络环境和可以实现的手段,通过对核心交换机路由状态各类参数的实时分析、判定路由器状态,通过对Fore7110 Vlan调整、monitor端口监测,利用嗅探器技术在SolarisOS应用(Snoop命令),确定了导致大量无效路由发生的事实,成功的解决了影响网络性能的网络隐患。这对在Unix系统中排查蠕虫病毒,维护网络的正常运行都有很好的借鉴意义。
【责任编辑:董书 TEL:(010)68476606】
| 回书目 上一节 下一节 |
|
· 最新Linux认证复习题模.. · 第六章 你能帮我吗?.. · Linux笔试面试题选摘测.. · 08年5月软考网管上午真.. · 性能测试从零开始 目录 · 08年5月软考网工上午真.. |
· 上周拒绝服务攻击(DDo.. · 08年5月各大网上书店及.. · 2008年5月24日软考试题.. · 软件设计师专家临考模.. · 上周网络管理员专家自.. · 网络工程师自测获奖名.. |
|
|||
| 名称:SQL Server数据库管理精品黄皮书 简介:书中文章经过精挑细选,便于用户能根据自己的实际工作和学习,快速在本书寻找到相关资料。内容涵盖了SQL Server的安装与升级、语句查询、数据备份和恢复、自动化任务、数据同步、数据字典、安全和预防、性能和优化、集群等各方面应用信息,以及DBA管理人员在数据库管理工作中 |
|||
| 名称:2007路由技术大全 简介:《2007路由技术大全》由51CTO.com网站特别策划制作,该书包括路由器技术、路由器产品、路由器配置、安全设置、路由器故障处理、路由器密码恢复,以及广大网友在实践使用中的心得经验和技巧文章,内容注重实用性,适用于初学者入门,也适合多年从业者提高,是一本实践和理论完 |
|||
| 名称:网络安全精品应用黄皮书 简介:《2007精品网络安全黄皮书》包括了9个大类24个小类, 800余篇文章,内容包含了熊猫烧香病毒、DDOS攻击、ARP病等热点问题的介绍及解决方案。从病毒查杀、防范、系统、数据等各方面的安全设置到黑客技术的了解、防范,涉及到了安全应用的全部领域, 由浅至深内容全面。 |
|
||||
| · SOA 面向服务架构 · SQL Server 2008/2005.. · Apache技术专题 · 三层交换技术专题 · SQL Server入门到精通 · Windows远程桌面应用 · C#技术开发指南 · Apache技术专题 |
· Windows集群服务应用 · C#技术开发指南 · 国际文档格式标准开战 · 路由器设置与口令恢复 · Linux 集群技术专题 · PHP开发应用手册 · SOA 面向服务架构 · 企业数据恢复指南 |
|||
|
||||
| · SQL Server入门到精通 · SQL Server 2008/2005.. · SOA 面向服务架构 · Apache技术专题 · C#技术开发指南 · 三层交换技术专题 · Apache技术专题 · C#技术开发指南 |
· Windows远程桌面应用 · 企业数据恢复指南 · Windows集群服务应用 · 路由器设置与口令恢复 · Linux 集群技术专题 · SOA 面向服务架构 · 了解统一威胁管理(UTM).. · 反垃圾邮件技术应用 |
|||
