路由器一般故障到特殊故障的解决9

路由器一般故障到特殊故障的解决9

SSR# system show cpu-utilization

　　CPU Utilization (5 seconds):　 50%　　　

　　(60 seconds): 60%（前者是指5秒钟内CPU平均使用率为50％，

　　后者是60秒钟内CPU平均使用率为60％）

　　果然，连续使用此命令后得知CPU利用率正在逐渐上升，当达到95％的时候路由器便自动重启。看来路由器的负载太大了，因为平时正常情况下，CPU的使用率仅为1％—6％左右。当网络使用高峰期的时候CPU的利用率会稍微高一点。但到底是什么让路由器过载呢？幸好以前曾经给路由器设置过日志记录，并把日志发送到一个日志服务器上。但是打开这台服务器所记录的日志并未能找到有用的线索。因为当路由器负载过大时，它已经不能往日志服务器上发送日志了，我只能用“system show syslog buffer”命令来查看当前系统缓存中的日志记录：

　　 SSR# system show syslog buffer

　　2003-09-10 09:28:32 %ACL_LOG-I-DENY, ACL [out]

　　on "uplink" ICMP 210.16.3.82 -> 210.55.37.72

　　2003-09-10 09:28:32 %ACL_LOG-I-PERMIT, ACL [out]

　　on "uplink" ICMP 210.16.3.82 -> 61.136.65.13

　　2003-09-10 09:28:32 %ACL_LOG-I-DENY, ACL [out]

　　on "uplink" ICMP 210.16.3.82 -> 202.227.100.65

　　2003-09-10 09:28:32 %ACL_LOG-I-DENY, ACL [out]

　　on "uplink" ICMP 210.16.3.82 -> 193.210.224.202

　　2003-09-10 09:28:32 %ACL_LOG-I-DENY, ACL [out]

　　on "uplink" ICMP 210.16.3.82 -> 218.32.21.101

　　………………

　　很明显，“210.16.3.82”这台在使用ICMP协议向其他主机发起攻击，据此判断，这台主机要么是中毒，要么是被黑客利用了。鉴于当时的情况分析，可能是网络中存在中了“冲击波杀手”病毒的主机。该病毒使用类型为echo的ICMP报文来ping根据自身算法得出的ip地址段，以此检测这些地址段中存活的主机，并发送大量载荷为“aa”，填充长度92字节的icmp报文，从而导致网络堵塞。而且病毒一旦发现存活的主机，便试图使用135端口的rpc漏洞和80端口的webdav漏洞进行溢出攻击。溢出成功后会监听69（TFTP专业端口，用于文件下载）端口和666-765（通常是707端口）范围中的一个随机端口等待目标主机回连。