分析負載過大導致路由器設置出現問題
路由器設置還有很多值得我們學習的地方,這里我們主要介紹負載過大導致路由器設置出現問題,我把筆記本接到交換機的其中一個端口上,再ping網關。還是同樣的故障,而且還發現每過4分鐘到10分鐘,網絡就會斷一次,并且40到50秒后又恢復正常。
經過觀察發現:沒有發現端口指示燈的異常情況,說明交換機的各個端口均正常。難道真是交換機的內部系統出現故障了?算了,索性把交換機重啟一下。誰知重啟后,故障依舊。可能交換機真的出了問題,我正想是否要把堆疊模塊換到另外一個交換機上的時候,我的手機響了,又一個同事告訴我他的機器也出現相同的故障現象。而這個同事的主機在另外一個虛網中,同時出現相同的時通時斷情況,那極有可能是連接這兩個虛網的路由器設置出了問題。
這回問題集中到路由器設置上了。我急忙回到網絡中心,從路由器的外部指示燈上看,沒什么異常現象。在我的網管機上ping路由器的地址(我的網管機是直接連在路由器的百兆模塊上的),也是時通時斷。我又繼續觀察了一段時間,發現每過4分鐘到10分鐘,路由器所有模塊的指示燈都會同時熄滅,接著控制模塊上的“HBT”燈閃爍,然后“OK”燈亮起,最后所有模塊的指示燈均顯示Online。我解釋一下,“HBT”燈閃爍表示路由器正在啟動,也就是說正在自動重啟,而且40秒左右的網絡斷開時間正好是路由器的重啟所需的時間。現在問題的查找工作已經結束,肯定是路由器出了故障。具體是什么問題,還需要進一步的檢測。趁著路由器正常工作的時候,把筆記本的COM口使用路由器的專用CONSOLE線連接起來,建立超級終端。在管理模式下使用命令“systemshowbootlog”查看系統的啟動記錄,發現各個模塊的加載均屬正常。造成路由器設置中重啟的原因,最大的可能就是CPU的利用率達到100%。使用“systemshowcpu-utilization”命令查看CPU的使用率:
SSR#systemshowcpu-utilization
CPUUtilization(5seconds):50%
(60seconds):60%(前者是指5秒鐘內CPU平均使用率為50%,
后者是60秒鐘內CPU平均使用率為60%)
果然,連續使用此命令后得知CPU利用率正在逐漸上升,當達到95%的時候路由器設置自動重啟。看來路由器的負載太大了,因為平時正常情況下,CPU的使用率僅為1%—6%左右。當網絡使用高峰期的時候CPU的利用率會稍微高一點。但到底是什么讓路由器過載呢?幸好以前曾經給路由器設置過日志記錄,并把日志發送到一個日志服務器上。但是打開這臺服務器所記錄的日志并未能找到有用的線索。因為當路由器設置負載過大時,它已經不能往日志服務器上發送日志了,我只能用“systemshowsyslogbuffer”命令來查看當前系統緩存中的日志記錄:
SSR#systemshowsyslogbuffer
2003-09-1009:28:32%ACL_LOG-I-DENY,ACL[out]
on"uplink"ICMP210.16.3.82->210.55.37.72
2003-09-1009:28:32%ACL_LOG-I-PERMIT,ACL[out]
on"uplink"ICMP210.16.3.82->61.136.65.13
2003-09-1009:28:32%ACL_LOG-I-DENY,ACL[out]
on"uplink"ICMP210.16.3.82->202.227.100.65
2003-09-1009:28:32%ACL_LOG-I-DENY,ACL[out]
on"uplink"ICMP210.16.3.82->193.210.224.202
2003-09-1009:28:32%ACL_LOG-I-DENY,ACL[out]
on"uplink"ICMP210.16.3.82->218.32.21.101
………………
很明顯,“210.16.3.82”這臺在使用ICMP協議向其他主機發起攻擊,據此判斷,這臺主機要么是中毒,要么是被黑客利用了。鑒于當時的情況分析,可能是網絡中存在中了“沖擊波殺手”病毒的主機。該病毒使用類型為echo的ICMP報文來ping根據自身算法得出的ip地址段,以此檢測這些地址段中存活的主機,并發送大量載荷為“aa”,填充長度92字節的icmp報文,從而導致網絡堵塞。而且病毒一旦發現存活的主機,便試圖使用135端口的rpc漏洞和80端口的webdav漏洞進行溢出攻擊。溢出成功后會監聽69(TFTP專業端口,用于文件下載)端口和666-765(通常是707端口)范圍中的一個隨機端口等待目標主機回連。
根據該病毒的傳播機理,立刻在路由器設置訪問控制列表(ACL),以阻塞UDP協議的69端口(用于文件下載)、TCP的端口135(微軟的DCOMRPC端口)和ICMP協議(用于發現活動主機)。具體的ACL配置如下:
!---blockICMP
acldeny-virusdenyicmpanyany
!---blockTFTP
acldeny-virusdenyudpanyanyany69
!---blockW32.Blasterrelatedprotocols
acldeny-virusdenytcpanyanyany135
acldeny-viruspermittcpanyanyanyany
acldeny-viruspermitudpanyanyanyany
