路由器故障處理是我們網(wǎng)絡管理員的日常工作，那么如何做好這項工作呢？，那么下面就向你介紹了一個具體的路由器故障處理實例，希望那個對你有所幫助。

路由器故障處理的起因：

筆者附近的一家中型企業(yè)的網(wǎng)絡出了故障。管理員反應的主要癥狀為：公司網(wǎng)絡網(wǎng)速緩慢，且出現(xiàn)延遲現(xiàn)象，登錄服務器很久都沒有響應，時常提示超時。筆者初步判斷是網(wǎng)絡中有異常數(shù)據(jù)流，因為網(wǎng)絡中的交換機和路由器燈長明、狂閃。

網(wǎng)絡環(huán)境：

該公司內(nèi)網(wǎng)在三層交換處劃分了VLAN，最后通過路由器與Internet 連接，網(wǎng)內(nèi)大概有200臺電腦。

路由器故障處理之原因分析：

筆者作為一名協(xié)助人員對這家企業(yè)的網(wǎng)絡故障進行了分析。可能是該公司網(wǎng)絡管理力度不夠，網(wǎng)絡部署不夠嚴密，網(wǎng)絡中可能存在ARP欺騙。ARP 風暴吞噬了網(wǎng)絡帶寬，影響了網(wǎng)絡響應的速度。

由于該公司主機數(shù)量比較大，逐個手動查找肯定很麻煩，于是我們決定通過網(wǎng)絡分析軟件來查找故障主機。經(jīng)過一些鏡像設置，筆者將科來網(wǎng)絡分析軟件安裝到筆記本上，并接入到該公司的中心交換設備的鏡像端口處抓包。30分鐘以后，停止捕獲并開始分析。關鍵數(shù)據(jù)很多，通過查看捕獲的數(shù)據(jù)包，筆者第一感覺是該公司的網(wǎng)絡可能感染了蠕蟲病毒，該病毒在網(wǎng)絡中感染其他主機，產(chǎn)生了數(shù)據(jù)風暴，使網(wǎng)絡性能下降。

我首先查看“診斷視圖”，發(fā)現(xiàn)在“診斷視圖”中顯示的“TCP重復的連接嘗試”居然達到了31126次。這是很不正常的情況。為了找到更多的證據(jù)來證明，筆者在“端點視圖”按網(wǎng)絡連接排序，發(fā)現(xiàn)IP為10.8.24.11的主機網(wǎng)絡連接次數(shù)名列榜首。

此時筆者決定定位分析這臺主機，查看“會話視圖”中的TCP 連接情況，發(fā)現(xiàn)全是該主題向目的主機的445端口發(fā)起的連接。這恰好證明了筆者的猜測：該主機可能感染了蠕蟲病毒，且該病毒正在試圖感染其他主機。然后，筆者在“概要統(tǒng)計”里查看IP為10.8.24.11的主機的TCP數(shù)據(jù)包情況，發(fā)現(xiàn)在30分12秒的時間里，該主機共發(fā)出了29622個TCP 同步數(shù)據(jù)包，而結束數(shù)據(jù)包和復位數(shù)據(jù)包分別是3253和1387個。結合以上對該主機連接的分析，筆者基本上確定了該主機感染了蠕蟲病毒。
3lian素材 www.3lian.com
路由器故障處理方案：

IP為10.8.24.11的主機感染蠕蟲病毒后，病毒自動通過網(wǎng)絡與其他主機的TCP445端口建立連接，試圖感染其他主機，嚴重耗費了網(wǎng)絡資源，造成網(wǎng)絡整體性能的下降，嚴重時可使網(wǎng)絡大面積感染病毒，導致網(wǎng)絡上的主機全部癱瘓。筆者將IP為10.8.24.11的主機與網(wǎng)絡隔離，并對其進行病毒查殺，查殺后重新接入網(wǎng)絡。

路由器故障處理過后的問題：

本來以為問題已經(jīng)解決，誰知不到一天，該公司的網(wǎng)管員又告訴筆者，公司的網(wǎng)絡流速不穩(wěn)定，雖然沒有上次那樣大面積長時間的停滯，但是還會很有規(guī)律地在上班時間發(fā)生網(wǎng)絡擁堵，網(wǎng)速緩慢。

再次分析：

筆者首先用網(wǎng)絡分析軟件在網(wǎng)絡的中心節(jié)點上進行抓包，時間為20分鐘。通過分析，筆者發(fā)現(xiàn)有大流量的數(shù)據(jù)從外網(wǎng)通過路由器轉發(fā)到一個MAC地址為00-0A-E6-98-84-B7的主機上。這個數(shù)據(jù)流占了從外網(wǎng)流入數(shù)據(jù)的80%以上。筆者通過查看管理員整理的MAC列表找到了這臺主機。這是一臺文件服務器，主要用來實現(xiàn)企業(yè)內(nèi)部文件的共享。為什么會有外網(wǎng)的數(shù)據(jù)轉發(fā)到這個服務器呢？筆者馬上對這臺服務器進行檢查。檢查結果讓該企業(yè)的管理員非常驚訝——這臺文件服務器竟然被配置成了代理主機！

難道這臺文件服務器被人入侵了？事情沒有那么簡單，入侵者為什么要把它配置成代理服務器呢？難道入侵的不僅僅是這臺服務器，連路由器也被入侵了嗎？筆者通過管理員登錄路由器，果然發(fā)現(xiàn)有人在路由器上做了設置，有許多端口轉發(fā)到了這臺文件服務器上。

現(xiàn)在原因很清楚了：有人入侵了文件服務器，并把它配置成代理服務器；然后利用管理員密碼控制了路由器，在路由器上設置了端口轉發(fā)，把外網(wǎng)的數(shù)據(jù)轉發(fā)到文件服務器上，最后在自己的主機上設置代理上網(wǎng)，通過P2P軟件下載大型文件或者看電影、玩游戲，造成網(wǎng)絡擁堵。

那么，入侵者為什么要這樣做呢？原來該企業(yè)規(guī)定員工不能聯(lián)入Internet，網(wǎng)管在路由器上做了限制?？隙ㄊ怯袉T工通過這個方式在上班時間聯(lián)入Internet。那他又是如何控制路由器的呢？筆者了解到，路由器采用的是默認的用戶名，密碼是英文和數(shù)字的組合，是姓名和電話號碼的組合。顯然，入侵者通過社會工程學獲取了路由器的密碼，然后控制了路由器。

路由器故障處理的最終方案：

接下來的是就是找到入侵者，筆者采用的方法還是運用網(wǎng)絡分析軟件。筆者首先取消這臺文件服務器的文件共享功能，簡化數(shù)據(jù)捕獲，設置好網(wǎng)絡監(jiān)控軟件后蹲點。沒過多久，軟件就獲得了大量的數(shù)據(jù)。通過對數(shù)據(jù)的分析，筆者很快就確定了幾個可疑的ＭＡＣ地址，并根據(jù)ＭＡＣ地址列表找到了相關的主機。接著，筆者恢復文件服務器的共享功能，取消代理，并給路由器重新設置復雜的密碼。

事后，筆者了解到，確實是該公司一名員工突破了文件服務器和路由器后進行了設置，然后還告知了幾個朋友通過代理上網(wǎng)。

路由器故障處理總結：

這兩起與路由器有關的案例，實際上其問題都是人為因素造成的。因此，做為網(wǎng)管員，一定要保護好網(wǎng)絡的關鍵組件，設置強密碼。另外，我們在解決網(wǎng)絡故障的時候，如果能夠靈活運用網(wǎng)絡分析軟件，就能起到事半功倍的效果。

路由器故障處理實例的相關內(nèi)容就向你介紹到這里，希望對你了解和學習掌握路由器故障處理的思路有所幫助。