如何解救被劫持的路由器？

什么是路线劫持？路由劫持可能是上层交换机或电信核心交换机的故障。如果是这个原因，公司内部网络仍然畅通，路由器和交换机工作正常。那么当这种情况发生时，我们该怎么办呢？让我们一起来看看。

　　一、案例再现——路由器被劫持了！

1.故障描述

一个公司的内部网是一个在三层交换机上划分的VLAN，最后通过路由器连接到远程。内部网中有近200台主机。前段时间网络出现了这样的故障：公司网速慢且延迟，登录服务器长时间不响应，经常提示超时。刚开始判断网络有异常数据流，是因为网络中的交换机、路由器一直亮着灯，闪着xp系统下载。

2.找到中毒的客户

一开始以为是公司网络部署不严格或者网络中存在ARP欺骗，ARP风暴吞噬了网络带宽，影响了网速。鉴于连接网络的机器太多，全靠人工查找非常麻烦，所以我决定用分析软件来查找。将装有软件的笔记本连接到中心交换机端口后，一个小时后，根据软件获取的数据分析，感觉感染了蠕虫，一些病毒感染了网络中的其他机器，导致数据风暴，降低了网络性能。

根据软件“诊断视图”显示的连接尝试，发现一台IP为172.16.56.7的主机异常。经过定位分析，判断该主机可能感染了蠕虫病毒，该病毒正在试图感染其他主机。病毒通过网络自动与其他主机的TCP 445端口建立连接，并试图感染其他主机，严重消耗网络资源，造成网络性能下降，甚至使整个网络瘫痪。于是主机被隔离，杀毒后重新连接网络。

3.故障再现

我以为问题解决了，但第二天又出现了之前的情况，除了之前没有长时间大面积断网或停滞，或者经常出现网络拥堵，网速慢。分析软件再次用于数据包捕获分析。通过分析发现，流量较大的数据是从外网通过路由器转发到MAC地址为00- A0-D1-E5-17-05的主机上的，这个数据占外网流入量的80%以上。档案显示，该主机为服务器，主要用于实现内部文件共享的文件服务器。通过检查该服务器，发现该服务器配置为代理服务器，怀疑被入侵。

那么它为什么是代理服务器呢？路由器是不是也被入侵了？登录路由器，发现路由器设置了端口转发，很多端口转发都转移到这个文件服务器。现在原因很清楚了。有人入侵这个文件服务器并将其设置为代理服务器，然后控制路由器，在路由器上设置端口转发，将外部网络数据传输到服务器。最后设置一个代理在自己的机器上上网，通过下载P2P软件造成网络拥堵。因为公司规定除了部分机器可以上网外，大部分机器都不能上网，所以受到路由器的限制。因为公司路由器使用默认用户名，所以只需设置密码，这样就控制了路由器。

4.故障完全解决了

运行网络分析软件时，首先取消文件服务器的文件共享，设置网络监控软件，快速获取大量数据。根据几个可疑的Macs和存储的文件，很快找到了对应的主机。然后恢复文件服务器共享功能，取消代理服务器设置，重置路由器密码。至此，问题已经彻底解决。

　　二、深入拓展——如何解救被劫持的路由？

也许，上面的情况比较特殊。其实网络运维中类似的案例很多，原因也很复杂。下面我们来谈谈导致类似故障的故障排除思路和流程。

1、故障排除思路

(1)上层交换机或电信核心交换机出现故障。如果是这个原因，公司内部网络仍然畅通，路由器和交换机工作正常。这种情况时有发生。例如，提交人的本地电信线路因受到攻击而瘫痪。对此，公司管理员只能等待电信部门尽快恢复。

(2)公司内部用户正在使用Emule、BT等下载软件下载数据。员工使用Emule、BT等下载软件下载数据时，会占用公司大量的带宽，公司网络本身也会有一定的负载，很有可能其他用户无法访问网络，打开网页时会出现超时。如果是因为这个原因，这些下载的软件可以在入口处通过技术手段禁用。

(3)路由器、交换机长期运行后，支持软件的内存消耗超过设备本身的临界值，导致超负荷运行，也会导致网速变慢。如果发生这种情况，请重启交换机、路由器和防火墙。

(4)带宽无法满足公司要求，建议增加公司带宽。网速与公司应用的带宽、电路类型、局域网设备性能和参数设置、网络中的计算机数量等诸多因素有关。公司接入电路后，只能测试实际带宽能否达到应用带宽。这里有一个简单的带宽测试方法：通过在互联网上下载一些相对较大的文件，观察下载的流量是否能达到或接近应用速率(超过应用速率的75%)。

我们可以在接入电路上连接一台PC，这样测试结果更接近实际效果。下载更大的文件花费的时间越长，反射的效果就越准确。下载显示的速度单位一般是字节，而电路施加的速度是位，所以在确认测试结果时要注意单位的转换。如果下载显示的速度和申请的带宽有很大差距，可能是电脑或接入电路的性能造成的。这时，你可以向电信公司报告故障。如果测试正常，局域网下载很慢，应该在局域网检查配置。局域网中的计算机数量应该与应用程序所需的带宽成比例。

2.故障排除过程

针对以上故障点，建议采用以下流程解决故障问题。

(1)检查网络连通性。首先对公司内部网络进行联通测试，主要对网关、路由器、交换机进行联通测试。然后测试上层交换机和外部网络的IP地址。如果一切正常，进行下一步，否则，检查设备。

(2)如果公司网络出口处使用了防火墙或监控软件，可以通过防火墙或监控软件检查网络连接。网络的缓慢出现通常是由于一台或几台计算机占用了大量带宽造成的，也可能是网络风暴造成的。防火墙管理软件可以轻松找到大量的计算机IP和端口信息。找到这些电脑后，切断故障源，然后检查网络使用情况。如果正常，可以从雨林风xp系统下载解决故障源的电脑。

(3)采取补救措施。对有问题的电脑进行杀毒等安全检查，确保电脑正常运行后再接入网络。如果条件允许，可以在分时下载中限制或禁用Emule、BT等软件。

最后，希望本文提供的案例，以及故障排除的技巧和思路，对大家有所帮助。