路由劫持是怎么回事 如何解救被劫持的路由器【详解】

路由劫持是怎么回事如何解救被劫持的路由器【详解】

什么是路由劫持？

路由劫持可能是由上层交换机或电信核心交换机的故障引起的。如果是这个原因，公司内部网络仍然畅通，路由器和交换机都处于正常工作状态。这种情况也时有发生。

接下来，我们来看看如何解救被劫持的路由器。

一、案例再现&mdash&mdash路由器被劫持了！

1.故障描述

某公司的内部网是在三层交换机处划分的VLAN，最后通过路由器连接到远程。内网有近200台主机。前段时间网络出现了这样的故障:公司网速慢，有延迟现象。登录服务器长时间没有响应，经常提示超时。一开始判断是网络有异常数据流，因为网络中的交换机和路由器一直亮着灯，闪着xp系统下载。

2.找到中毒的客户。

一开始我以为是公司网络部署不严格或者网络存在ARP欺骗，ARP风暴吞噬了网络带宽，影响了网速。鉴于联网的机器太多，手动全部搜索非常麻烦，所以我们决定使用分析软件进行检查。将安装了软件的笔记本电脑连接到中央交换机端口。一个小时后，根据软件得到的数据分析，感觉是感染了蠕虫，部分病毒感染了网络中的其他电脑，导致数据风暴，使网络性能降级。

根据软件诊断视图发现IP为172.16.56.7的主机异常。经过位置分析，确定该主机可能感染了蠕虫，并且该病毒正在试图感染其他主机。该病毒通过网络自动与其他主机的TCP445端口建立连接，试图感染其他主机，严重消耗网络资源，导致网络性能下降，甚至整个网络瘫痪。于是主机被隔离，病毒被杀死后，重新连上网络。

3.故障重现

我以为问题解决了，但是第二天之前的情况又出现了，只是大面积长时间不坏。

或者网络停滞，或者经常网络拥塞，网速慢。再次使用分析软件进行数据包捕获分析。通过分析发现，流量较大的数据通过路由器从外网转发到MAC地址为00-A0-D1-E5-17-05的主机，占外网流入量的80%以上。通过档案发现，这台主机是一台服务器，主要用来实现内部文件共享。通过检查这台服务器，发现这台服务器被配置为代理服务器，怀疑有人入侵过。

那么为什么要配置成代理服务器呢？路由器也是被黑的吗？登录路由器，发现路由器设置了端口转发，很多端口转发都转移到了这个文件服务器上。现在原因很清楚了。有人入侵了这个文件服务器，将其设置为代理服务器，然后控制路由器，在路由器上设置端口转发，将外网数据转移到服务器，最后在自己的机器上设置代理上网。通过P2P软件大量下载造成网络拥堵。因为公司规定除了个别机器，大部分机器都不能上网，所以受到路由器的限制。因为公司路由器使用默认用户名，只是简单设置密码，这样路由器就被控制了。

4.故障彻底解决。

运行网络分析软件，首先取消了文件服务器的文件共享，设置了网络监控软件，快速获取了大量数据。根据几台可疑的MAC和存储的文件，很快找到了对应的主机。然后恢复文件服务器共享功能，取消代理服务器设置，重置路由器密码。至此，问题彻底解决。

二、进一步发展&mdash&mdash如何解救被劫持路线？

或许，上述案例比较特殊。其实网络运维中类似的案例很多，原因也很复杂。下面说一下导致类似故障的故障排除思路和故障排除流程。

1.排除错误的想法

(1)上层交换机或电信核心交换机出现故障。如果是这个原因，公司内部网络仍然畅通，路由器和交换机都处于正常工作状态。这种情况也时有发生。例如，作者的本地电信线路因受到攻击而瘫痪。对此，公司管理者只能等待电信部门尽快恢复。

(2)公司内部用户正在使用Emule、BT等下载软件下载资料。员工使用电驴、BT等下载软件下载资料时，会占用公司大量带宽，公司网络本身也有一定负荷，因此很有可能出现其他用户无法访问网络，打开网页超时的现象。如果是这个原因，可以在入口处通过技术手段禁用这些下载的软件。

(3)路由器和交换机长时间运行后，支撑软件的内存消耗超过设备本身的临界值，超负荷运行也会造成网速变慢。如果发生这种情况，请重新启动交换机、路由器、防火墙和其他设备。

(4).带宽无法满足公司要求，建议增加公司带宽。网速和很多因素有关，比如公司申请的带宽，电路的类型，局域网设备的性能和参数设置，网络中的电脑数量等。公司接好电路后，只能测试实际带宽能否达到应用带宽。这里有一个简单的带宽测试方法:通过在网上下载一些大文件，观察下载的流量是否能达到或接近请求速率(大于请求速率的75%)。

我们可以在接入电路上连接一台PC，使测试结果更接近实际结果。文件越大，下载时间越长，反映出来的效果就越准确。一般下载速率单位是字节，而电路应用速率是比特，所以在确认测试结果时要注意单位转换。如果下载速度与应用带宽差距较大，可能是电脑性能或接入电路造成的。这时候可以向电信公司反映故障。如果测试正常，局域网内下载非常慢，应该检查局域网内的配置。局域网中的计算机数量应与应用所需的带宽成比例。

2.故障排除流程

针对以上故障点，建议采用以下流程解决故障问题。

(1).检查网络连接。首先对公司内部网络进行测试，主要是网关、路由器、交换机。然后测试上层交换机和外部网络的IP地址。如果一切正常，进行下一步；否则，检查设备。

(2).如果公司网络的出口处使用了防火墙或监控软件，您可以通过防火墙或监控软件检查网络连接。网速慢通常是一台或几台电脑占用大量带宽造成的，也有可能是网络风暴造成的。防火墙管理软件可以很容易地找到计算机的IP和端口等大量信息。找到这些电脑后，切断故障源，然后检查网络使用情况。如果正常，解决故障来源的电脑可以通过雨林风xp系统下载。

(3).组成/弥补/化妆/编造/和好/配置/补考/铺（床）

救援措施。对有问题的计算机进行安全检查，如杀毒，确保计算机在连接网络前运行正常。有条件的可以限制或禁用电驴、BT等软件的分时下载。

最后，希望本文提供的案例和故障排除技巧和思路对大家有所帮助。