![瑞星终身免费版 [热]](http://img2.cnaz.com/typeset/soft/h012/h20/img200810231859010.jpg)
“嗅探”路由器 排除网络故障
- 作者:不详
- 出处:互联网实验室
- 时间:2008-07-30
- 人气: 今日[] 本周[] 总共[]
步骤1: 登录核心交换机
Telnet 10.60.11.62
PB1_JSZ3:ip#mediaPB1_JSZ3:media# segment pdisable 8.3,8.5,8.6PB1_JSZ3:media#
monitor set 8.3 to 8.6 on 8.1
执行jsz3的solaris系统的Snoop命令,进一步对1.1、8.3、8.5、8.6几个端口packet进行监视,发现IP地址分属于8.3、8.6端口的10.60.12.17、10.60.12.59、10.60.10.57的机器发送大量的路由包,8.5端口正常。确定了机器IP后我们自然想到为什么会有大量的路由请求呢?。以Sun工作站(10.60.10.57)为例。通过远程登录该机器。我们执行solaris系统的Snoop命令。
步骤2:远程登录
#Telnet 10.60.10.57#Snoop
该机器发送的以“ 0.22.*.*” 为IP地址的无效路由请求数量很大。
步骤3:在这台机器上显示进程
#ps-eaf more
发现/Dev/cuc目录下的可疑执行文件chinaworm.exe及相关tar文件,并证明该文件为病毒。这就是故障的原因。
解决的方法
删掉该文件,关闭相关的远程网络服务。机器和交换机、网络都恢复了正常。通过Sun上执行#snoop命令可以显示无效路由包数量的增加降为101-102数量级。归于正常的增长范围。
在这次排除故障的工作中,我们运用现有的网络环境和可以实现的手段,通过对核心交换机路由状态各类参数的实时分析、判定路由器状态,通过对Fore7110 Vlan调整、monitor端口监测,利用嗅探器技术在SolarisOS应用(Snoop命令),确定了导致大量无效路由发生的事实,成功的解决了影响网络性能的网络隐患。这对在Unix系统中排查蠕虫病毒,维护网络的正常运行都有很好的借鉴意义。
Telnet 10.60.11.62
PB1_JSZ3:ip#mediaPB1_JSZ3:media# segment pdisable 8.3,8.5,8.6PB1_JSZ3:media#
monitor set 8.3 to 8.6 on 8.1
执行jsz3的solaris系统的Snoop命令,进一步对1.1、8.3、8.5、8.6几个端口packet进行监视,发现IP地址分属于8.3、8.6端口的10.60.12.17、10.60.12.59、10.60.10.57的机器发送大量的路由包,8.5端口正常。确定了机器IP后我们自然想到为什么会有大量的路由请求呢?。以Sun工作站(10.60.10.57)为例。通过远程登录该机器。我们执行solaris系统的Snoop命令。
步骤2:远程登录
#Telnet 10.60.10.57#Snoop
该机器发送的以“ 0.22.*.*” 为IP地址的无效路由请求数量很大。
步骤3:在这台机器上显示进程
#ps-eaf more
发现/Dev/cuc目录下的可疑执行文件chinaworm.exe及相关tar文件,并证明该文件为病毒。这就是故障的原因。
解决的方法
删掉该文件,关闭相关的远程网络服务。机器和交换机、网络都恢复了正常。通过Sun上执行#snoop命令可以显示无效路由包数量的增加降为101-102数量级。归于正常的增长范围。
在这次排除故障的工作中,我们运用现有的网络环境和可以实现的手段,通过对核心交换机路由状态各类参数的实时分析、判定路由器状态,通过对Fore7110 Vlan调整、monitor端口监测,利用嗅探器技术在SolarisOS应用(Snoop命令),确定了导致大量无效路由发生的事实,成功的解决了影响网络性能的网络隐患。这对在Unix系统中排查蠕虫病毒,维护网络的正常运行都有很好的借鉴意义。
相关软件相关资讯
网友评论
评论数据加载中...
