路由劫持是怎么回事 如何解救被劫持的路由器

　　路由劫持是怎么回事?

　　路由劫持可能是上層交換機或者電信核心交換機出現(xiàn)了故障。如果是這種原因，公司網(wǎng)絡內部仍然是暢通的，路由器和交換機設備處于工作正常狀態(tài)。這種情況也是時有發(fā)生的

　　下面，我們就來看看如何解救被劫持的路由器。

　　一、案例再現(xiàn)——路由器被劫持了!

　　1、故障描述

　　某公司的內網(wǎng)是在三層交換處劃分的VLAN，最后通過路由器與遠程連接，網(wǎng)內有近二百臺主機。前段時間網(wǎng)絡出現(xiàn)了這樣一個故障：公司網(wǎng)絡網(wǎng)速緩慢，且出現(xiàn) 延遲現(xiàn)象，登錄服務器很久都沒有響應，時常提示超時。當初判斷是網(wǎng)絡中有異常數(shù)據(jù)流，因為網(wǎng)絡中的交換機和路由器燈長明、狂閃xp系統(tǒng)下載。

　　2、定位中毒客戶端

　　最初以為公司網(wǎng)絡部署不嚴密或者在網(wǎng)絡中存在ARP欺騙，ARP風暴吞噬了網(wǎng)絡帶寬，影響了網(wǎng)絡速度。鑒于接入網(wǎng)絡機器太多，手動全部查找很麻煩，決定借 助分析軟件來查。將安裝軟件的筆記本接入到中心交換機端口，經(jīng)過一個小時，根據(jù)軟件得到的數(shù)據(jù)分析，感覺是感染了蠕蟲病毒，是些病毒在網(wǎng)絡中感染了其他機 器，產(chǎn)生了數(shù)據(jù)風暴，使網(wǎng)絡性能下降。

　　根據(jù)軟件“診斷視圖” 中顯示的連接嘗試，發(fā)現(xiàn)有一臺IP為172.16.56.7的主機不正常。進行定位分析后，判斷此主機可能感染了蠕蟲病毒，且該病毒正在試圖感染其他主 機。病毒自動通過網(wǎng)絡與其他主機的TCP 445端口建立連接，試圖感染其他主機，嚴重消耗了網(wǎng)絡資源，造成網(wǎng)絡性能下降，嚴重時會使整個網(wǎng)絡癱瘓。于是對此主機進行了隔離，病毒查殺后，重新接入 網(wǎng)絡。

　　3、故障重現(xiàn)

　　本以為問題得到解決，可第二天又出現(xiàn)了以前的情況，只是沒有以前大面積長時間斷

　　網(wǎng)或停滯，還是有規(guī)律地發(fā)生網(wǎng)絡擁堵，網(wǎng)速緩慢。再次用分析軟件進行抓包分析，通過分析發(fā)現(xiàn)大流量的數(shù)據(jù)是從外網(wǎng)通過路由器轉發(fā)到一個MAC地址為00- A0-D1-E5-17-05的主機上，這個數(shù)據(jù)占了外網(wǎng)流入量的80%以上。通過檔案資料查到了此主機為一臺服務器，主要用來實現(xiàn)內部文件共享的文件服 務器。通過對此服務器進行檢查，結果發(fā)現(xiàn)此服務器配置成了代理服務器，懷疑被人入侵了。

　　那么為什么配成代理服務器呢?是不是路由器也被入侵了?登錄路由器，發(fā)現(xiàn)路由器設置了端口轉發(fā)，許多端口轉發(fā)都轉到了這臺文件服務器上?，F(xiàn)在原因已經(jīng)很清楚了，有人入侵了此文件服務器，并將它設置成了代理服務器，然后控制了路由器，在路由器上設置了端口轉發(fā)，把外網(wǎng)數(shù)據(jù)轉到服務器上，最后在自己的機器上設置代理上網(wǎng)，通過P2P軟件大量下載造成網(wǎng)絡擁堵系統(tǒng)下載。因為公司規(guī)定除個別機器可以上網(wǎng)外，絕大部分機器不能接入Internet網(wǎng)，所以通過路由器進行了限制。由于公司路由器采用的是默認用戶名，只是簡單地設置了密碼，這樣路由器就被控制了。

　　4、故障徹底解決

　　運行網(wǎng)絡分析軟件，首先取消了文件服務器的文件共享，設置網(wǎng)絡監(jiān)控軟件，很快獲得了大量數(shù)據(jù)。根據(jù)幾個可疑MAC及所存的檔案，很快找到了相應的主機。然后恢復文件服務器共享功能，取消代理服務器設置，重新設置路由器密碼。至此問題徹底解決。 ?