[推荐]“嗅探”路由器故障

“嗅探”路由器故障
核心交换机为FORE7110并且有路由功能。通过以太网仿真ELAN技术，下连3台Fore7105构成研究院ATM骨干网，上联大庆油田企业网ATM网。网络拓扑为星型树结构。拥有10.*.*.*--,10.65.111.0九个子网段，共2300个IP地址资源，足以满足我院 1248台PC电脑，138台工作站和网络交换设备对节点的需求。研究院局域网光纤线路覆盖大小建筑34幢，共有信息点1150个。在Internet服务方面有域名服务系统、电子邮件系统和Web站点。
故障的出现
我院的Fore7100是支持最大交换1.6G带宽的研究院具有路由功能的核心交换设备，一天，该交换机Fore7110出现如下现象：
工作状态指示异常繁忙，交换速度极慢，又没有其它特征。网络连通测试（ping）是通的。单响应时间慢到300-900ns不等。Fore7010交换机的路包由包监测发现Fore7010交换机的路包由包监测发现无效路由包在极短的增长很快，数量级为105--106甚至107，仅仅在10秒种内.有效的路由服务瘫痪，形成了网络安全上称为服务拒绝攻击。
路由器性能判定
我们直接进入到 Fore7110交换机 ( 10.60.11.62)用stats命令显示的路由记录信息。
Telnet 10.60.11.62
PB1_JSZ3:ip# stats  -P  IP        (当前路由记录信息)
IP statistics: count since last stats clear
Datagrams forwarded:  170073
Datagrams rcvd:  175164
......................
No route to send:  5507           (交换机无法发送的无效路由请求数)
segment:1.1 .........
Segment: 8.3   Datagrams rcvd:  62
               .........
             No route to send:  5
Segment: 8.5
              Datagrams rcvd:  11
               .........
              No route to send:  5
Segment: 8.6
             Datagrams rcvd:  6070
               ........
             No route to send:  6077    (交换机8.6口无法发送的无效路由请求数)
PB1_JHSZ3:ip# stats  clear all        (将路由记录清除)
PB1_JSZ3:ip# stats  -p  ip        (当前最新间隔5秒路由记录信息)
IP statistics: count since last stats clear
               Datagrams forwarded:  231521
                    Datagrams rcvd:  468451
                  No route to send:  232258    (交换机无法发送的无效路由请求数)
Segment: 1.1 .........
Segment: 8.3
               Datagrams forwarded:  2
                ........
                  No route to send:  2267
Segment: 8.5
               Datagrams forwarded:  1
                   .......
                  No route to send:  179
Segment: 8.6
               Datagrams forwarded:  2
                    ........
                  No route to send:  222811   (交换机8.6口无法发送的无效路由请求数)
检测过程
我们决定对Fore7110显示的几个无效路由包增加过快的几个端口进行监测。在没有相应的网络性能分析仪（sniffer网络分析仪）的情况下，我们决定通过修改fore的VLAN将需要监测的8.3、8.5、8.6等端口与具有snoop功能的Sun工作站jsz3上连口8.1划分到同一VLAN中。同时通过Fore7110 监控Monitor端口命令。需要注意：使用monitor 命令对交换设备有较大的性能的影响。
步骤1： 登陆核心交换机
Telnet 10.60.11.62                                                
PB1_JSZ3:ip#media
PB1_JSZ3:media#  segment   pdisable 8.3,8.5,8.6
PB1_JSZ3:media#  monitor set  8.3 to 8.6 on  8.1
执行jsz3的solaris系统的Snoop命令，进一步对1.1、8.3、8.5、8.6几个端口packet进行监视，发现IP地址为分属于8.3、8.6端口的10.60.12.17、10.60.12.59、10.60.10.57的机器发送大量的路由包，8.5端口正常。确定了机器IP后可我们自然想到为什麽会有大量的路由请求呢？。以Sun工作站（10.60.10.57）为例。通过远程登录该机器。我们执行solaris系统的Snoop命令
步骤2：远程登陆
#Telnet 10.60.10.57
#Snoop
该机器发送的以" 0.22.*.*" 为IP地址的无效路由请求数量很大
步骤3：在这台机器上显示进程
#ps-eaf|more
发现/Dev/cuc目录下的可疑执行文件chinaworm.exe及相关tar文件，并证明该文件为病毒。这就是故障的原因。
解决的方法
删掉该文件，关闭相关的远程网络服务。机器和交换机、网络都恢复了正常。通过SUN上执行#snoop命令可以显示无效路由包数量的增加降为101-102数量级。归于正常的增长范围。
在这次排除故障的工作中，我们运用现有的网络环境和可以实现的手段，通过对核心交换机路由状态各类参数的实时分析、判定路由器状态，通过对Fore 7110  Vlan调整、monitor端口监测，利用嗅探器技术在SolarisOS应用（Snoop命令），确定了导致大量无效路由发生的事实，成功的解决了影响网络性能的网络隐患。这对在Unix系统中排查蠕虫病毒，维护网络的正常运行都有很好的借鉴意义。

收到。。已经妥善的储存了