也許很多人對(duì)路由器設(shè)置還不是特別的了解，于是我研究了一下路由器中過(guò)載而不斷重啟問(wèn)題，在這里拿出來(lái)和大家分享一下，希望對(duì)大家有用。把deny-virus這個(gè)ACL應(yīng)用到上聯(lián)接口（uplink）上：acl deny-virus apply interface uplink input output。

這樣就可以把“沖擊波殺手”從網(wǎng)絡(luò)的出口處堵截住。為了防止已經(jīng)感染“沖擊波殺手”的主機(jī)在校內(nèi)各個(gè)虛網(wǎng)之間傳播，還得把這個(gè)ACL應(yīng)用到校內(nèi)各虛網(wǎng)的接口上。這時(shí)使用再“system show cpu-utilization”查看CPU的使用率，它又恢復(fù)到正常狀態(tài)，等待了一段時(shí)間后，再?zèng)]有出現(xiàn)重啟現(xiàn)象。

由于路由器設(shè)置不能自動(dòng)丟棄這種病毒發(fā)出的攻擊數(shù)據(jù)包，而導(dǎo)致了路由器重啟。為了徹底解決問(wèn)題，還得升級(jí)路由器的IOS（可以使用“system show version”來(lái)查看當(dāng)前使用的IOS的版本）。記得兩年前在“紅色代碼”病毒盛行的時(shí)候，也出現(xiàn)過(guò)路由器設(shè)置因過(guò)載而不斷重啟的現(xiàn)象，升級(jí)IOS以后就恢復(fù)正常了。于是立刻和設(shè)備供應(yīng)商取得聯(lián)系并獲得最新的IOS映像文件。至此，路由器故障全部解決。

從這場(chǎng)故障處理中，我們可以得到這樣的教訓(xùn)：時(shí)刻關(guān)注網(wǎng)絡(luò)上事態(tài)的發(fā)展，并作出相應(yīng)的解決方案，而且付諸實(shí)施。一旦有新的漏洞出現(xiàn)，CCERT安全響應(yīng)小組會(huì)自動(dòng)發(fā)送郵件給你。當(dāng)時(shí)暑假期間得知“沖擊波”后，由于及時(shí)在路由器設(shè)置，所以“沖擊波”病毒沒(méi)有在網(wǎng)內(nèi)泛濫，但隨后的“沖擊波殺手”沒(méi)有及時(shí)設(shè)置相應(yīng)的ACL，所以才導(dǎo)致這次的網(wǎng)絡(luò)癱瘓。實(shí)際上，在這次的“沖擊波”和“沖擊波殺手”的襲擊中，很多城域網(wǎng)也因此陷入癱瘓。這些經(jīng)歷一次又一次的警告我們：時(shí)刻關(guān)注網(wǎng)絡(luò)安全，及時(shí)積極的應(yīng)對(duì)。

故障：ICMP Redirect

這是個(gè)什么問(wèn)題呢？首先給大家描述一下。雖然路由器設(shè)置在運(yùn)行時(shí)沒(méi)有出現(xiàn)明顯的異?，F(xiàn)象，但是卻經(jīng)?？吹竭@樣的日志：

Jul 09 15:54:21 %ACL_LOG-I-PERMIT, ACL [out]
on "uplink" ICMP 209.24.79.200 -> 219.157.38.52
Jul 09 15:54:21 %ACL_LOG-I-PERMIT, ACL [out]
on "uplink" ICMP 209.24.79.200 -> 219.167.139.16
Jul 09 15:54:21 %ACL_LOG-I-PERMIT, ACL [out]
on "uplink" ICMP 209.24.79.200 -> 61.132.1.43
Jul 09 15:54:23 %ACL_LOG-I-PERMIT, ACL [out]
on "uplink" ICMP 209.24.79.200 -> 24.232.18.109
Jul 09 15:54:23 %ACL_LOG-I-PERMIT, ACL [out]
on "uplink" ICMP 209.24.79.200 -> 211.146.112.211
…………………….

其中“209.24.79.200”是路由器設(shè)置的上聯(lián)接口地址，我不知道為什么會(huì)出現(xiàn)這么多從路由器設(shè)置發(fā)到這些沒(méi)有規(guī)律的IP的ICMP數(shù)據(jù)包。查查這些IP，有的來(lái)自國(guó)內(nèi)各省，有的來(lái)自日本，有的來(lái)自美國(guó)、阿根廷、新加坡，毫無(wú)規(guī)律。難道是有人在攻擊路由器？或者是內(nèi)部有肉機(jī)被人用來(lái)攻擊？而且奇怪的是只有出去的數(shù)據(jù)包的記錄，卻沒(méi)有記錄進(jìn)入的數(shù)據(jù)包？

說(shuō)起ICMP，大家肯定是熟悉不過(guò)的了。最常見(jiàn)的ping命令就是使用ICMP的。ICMP的全稱(chēng)是Internet Control Message Protocol（網(wǎng)間報(bào)文控制協(xié)議），它是IP不可分割的一部分，用來(lái)提供錯(cuò)誤報(bào)告。一旦發(fā)現(xiàn)各種錯(cuò)誤類(lèi)型就將其返回原主機(jī)，基于ICMP的攻擊方法也多種多樣。到底是什么原因?qū)е律蛇@樣的日志？讓我?guī)Т蠹乙黄饋?lái)查一查。

我校的拓?fù)浣Y(jié)構(gòu)是一個(gè)簡(jiǎn)單的星型結(jié)構(gòu)，中心節(jié)點(diǎn)就是一臺(tái)三層交換式路由器設(shè)置（Enterasys 公司的SSR8000）。其中一個(gè)端口上聯(lián)到CERNET，其他端口都是內(nèi)部連接，且為內(nèi)部網(wǎng)絡(luò)基于端口劃分了多個(gè)VLAN。為了查看該信息是否從網(wǎng)絡(luò)內(nèi)部發(fā)出，又給內(nèi)部VLAN的各個(gè)接口設(shè)置了日志，還是沒(méi)有相關(guān)的ICMP記錄（原先的日志只是記錄上聯(lián)接口的數(shù)據(jù)）。排除了內(nèi)部計(jì)算機(jī)發(fā)出ICMP數(shù)據(jù)包的可能，那問(wèn)題就可能出現(xiàn)在上聯(lián)接口上，而日志記錄只能記錄到協(xié)議層的信息，不能記錄更深層次的數(shù)據(jù)包。如何查看上聯(lián)接口的數(shù)據(jù)包呢，比較方便的方法就是使用端口鏡像功能，利用連接在鏡像端口上的計(jì)算機(jī)來(lái)抓取和分析數(shù)據(jù)包。