ICMP故障 路由器一般故障解決��,遇到過ICMP故障嗎���?知道怎么解決嗎���?你的無線路由器是不是經(jīng)常讓你上網(wǎng)時(shí)掉線,看看下面的文章�,一切問題都能解決���。
這是個(gè)什么問題呢���?首先給大家描述一下�。雖然路由器在運(yùn)行時(shí)沒有出現(xiàn)明顯的異?��,F(xiàn)象,但是卻經(jīng)?��?吹竭@樣的日志:其中"209.24.79.200"是路由器的上聯(lián)接口地址���,我不知道為什么會(huì)出現(xiàn)這么多從路由器發(fā)到這些沒有規(guī)律的IP的ICMP故障�。
?
ICMP故障
查查這些IP,有的來自國內(nèi)各省�,有的來自日本,有的來自美國���、阿根廷�、新加坡,毫無規(guī)律�。難道是有人在攻擊路由器?或者是內(nèi)部有肉機(jī)被人用來攻擊�?而且奇怪的是只有出去的數(shù)據(jù)包的記錄,卻沒有記錄進(jìn)入的數(shù)據(jù)包?
說起ICMP故障���,大家肯定是熟悉不過的了���。最常見的ping命令就是使用ICMP的。ICMP的全稱是Internet Control Message Protocol(網(wǎng)間報(bào)文控制協(xié)議),它是IP不可分割的一部分��,用來提供錯(cuò)誤報(bào)告。一旦發(fā)現(xiàn)各種錯(cuò)誤類型就將其返回原主機(jī)��,基于ICMP的攻擊方法也多種多樣�。到底是什么原因?qū)е律蛇@樣的日志���?讓我?guī)Т蠹乙黄饋聿橐徊椤?/p>
?
ICMP故障
我校的拓?fù)浣Y(jié)構(gòu)是一個(gè)簡單的星型結(jié)構(gòu)�,中心節(jié)點(diǎn)就是一臺(tái)三層交換式路由器(Enterasys 公司的SSR8000)。其中一個(gè)端口上聯(lián)到CERNET��,其他端口都是內(nèi)部連接�,且為內(nèi)部網(wǎng)絡(luò)基于端口劃分了多個(gè)VLAN。
為了查看該信息是否從網(wǎng)絡(luò)內(nèi)部發(fā)出�,又給內(nèi)部VLAN的各個(gè)接口設(shè)置了日志,還是沒有相關(guān)的ICMP記錄(原先的日志只是記錄上聯(lián)接口的數(shù)據(jù))��。排除了內(nèi)部計(jì)算機(jī)發(fā)出ICMP數(shù)據(jù)包的可能���,那問題就可能出現(xiàn)在上聯(lián)接口上,而日志記錄只能記錄到協(xié)議層的信息�,不能記錄更深層次的數(shù)據(jù)包。
?
ICMP故障
如何查看上聯(lián)接口的數(shù)據(jù)包呢�,比較方便的方法就是使用端口鏡像功能���,利用連接在鏡像端口上的計(jì)算機(jī)來抓取和分析數(shù)據(jù)包���。首先下載數(shù)據(jù)包分析軟件WINDUMP(下載地址:http://windump.polito.it)。在A計(jì)算機(jī)上��,安裝之�,然后連接到將要鏡像的RJ45端口上��。再在B計(jì)算機(jī)上�,也安裝WINDUMP��,并連接到當(dāng)前的VLAN1(網(wǎng)關(guān):222.222.222.1�,掩碼:255.255.255.0)中��。
?
ICMP故障
一切準(zhǔn)備就緒后,接著就是開始端口鏡像���。使用計(jì)算機(jī)B登錄到路由器�,進(jìn)入配置模式,輸入以下命令:SSR(config)# port mirroring dst-ports et.1.3 src-ports gi.4.1上面的命令把上聯(lián)端口(gi.4.1)鏡像到目標(biāo)端口(et.1.3)���,目標(biāo)端口就是計(jì)算機(jī)A連接的端口。在計(jì)算機(jī)A上�,進(jìn)入DOS提示符,轉(zhuǎn)到WINDUMP所在的目錄,輸入命令:
(上面的記錄已做過篩選��。第一句的參數(shù)"-N"表示IP地址或者端口號(hào)轉(zhuǎn)換為主機(jī)名或端口名���,第二句表示windump開始在所選網(wǎng)卡上監(jiān)聽�,第三句開始就是WINDUMP記錄的信息���。)同樣在計(jì)算機(jī)B上也運(yùn)行WINDUMP:查看路由器上的日志��,我任意找到其中一條關(guān)于ICMP的記錄:
查��,在計(jì)算機(jī)A上采集的數(shù)據(jù)中���,有幾條記錄(最后兩條)包含"218.79.246.212"的IP和此記錄匹配。從這兩句的記錄來看��,第一行表明從218.79.246.212的tcp端口64627向222.222.222.191的16881端口發(fā)送報(bào)文��。
S標(biāo)志表明設(shè)置了SYN標(biāo)志�,報(bào)文的流序號(hào)是2898301189,沒有數(shù)據(jù)�,有效的接收窗口是4096字節(jié),最大段大小(max-segment-size)的選項(xiàng)�,請(qǐng)求設(shè)置mss為1452字節(jié)。很明顯,這是一個(gè)請(qǐng)求報(bào)文�。而第二句表明路由器給218.79.246.212返回了一個(gè)"unreachable(主機(jī)不可達(dá))"ICMP 信息。這說明在這個(gè)網(wǎng)段中沒有找到IP地址為"222.222.222.191"的計(jì)算機(jī)���。
原來��,當(dāng)路由器接收到一個(gè)不知道IP地址(也就是說���,路由器不知道目標(biāo)路由)的數(shù)據(jù)包時(shí),它會(huì)嘗試發(fā)送ARP廣播來解析��,如果有目標(biāo)主機(jī)回應(yīng)這個(gè)ARP廣播��,則路由器會(huì)把數(shù)據(jù)包轉(zhuǎn)發(fā)給目標(biāo)主機(jī)�。
如果路由器沒有接收到回應(yīng),它將會(huì)為接下來的4個(gè)數(shù)據(jù)包發(fā)送ARP請(qǐng)求��,如果當(dāng)?shù)?個(gè)數(shù)據(jù)包到達(dá)時(shí)���,還沒有解析出目標(biāo)主機(jī)的MAC地址���,默認(rèn)情況下�,路由器將會(huì)在接下來的20秒鐘內(nèi)丟棄第6個(gè)以及后續(xù)的數(shù)據(jù)包,并且返回"主機(jī)不可達(dá)"的ICMP信息給源主機(jī)��。
從計(jì)算機(jī)B的記錄中的第一句也可以得到證明�,路由器向該網(wǎng)段中發(fā)出一個(gè)ARP查詢,查找IP為"222.222.222.191"的計(jì)算機(jī)��,結(jié)果沒有計(jì)算機(jī)相應(yīng)��,路由器則認(rèn)為該網(wǎng)段中沒有目標(biāo)主機(jī)��,所以返回一個(gè)ICMP信息給源計(jì)算機(jī)說明目標(biāo)主機(jī)不可到達(dá),以通知源主機(jī)這里存在問題���,同時(shí)丟棄原始數(shù)據(jù)包���。
至此問題已經(jīng)明朗,原來路由器記錄的ICMP都是路由器發(fā)送給源地址的"Destination Unreachable"信息���。那么為什么這些外面的IP地址會(huì)找校內(nèi)的計(jì)算機(jī)呢?從采集的數(shù)據(jù)分析不難發(fā)現(xiàn)�,這些外部主機(jī)主要是找內(nèi)部的固定的三個(gè)計(jì)算機(jī)。經(jīng)過歷史日志的檢查���,可以發(fā)現(xiàn)這三臺(tái)計(jì)算機(jī)的主要相同的記錄:
這三臺(tái)主機(jī)連接目標(biāo)主機(jī)的端口固定在6881到6889之間���,而這些端口正是現(xiàn)在比較流行的BT下載的常用端口。難怪以前沒有出現(xiàn)過此類日志��,直到最近BT流行時(shí)�,才出現(xiàn)的。主要原因是���,這些主機(jī)使用BT下載時(shí)�,在BT服務(wù)器上留下了記錄�,以便其他的主機(jī)到這些主機(jī)上下載資源,而當(dāng)這些主機(jī)關(guān)機(jī)后���,路由器就告訴它們找不到這些主機(jī)了���。
由于日志服務(wù)所記錄的是第三層以上的信息���,而路由器接收到的數(shù)據(jù)包在第二層上就被丟棄了��,所以沒有在日志中記錄這些輸入的異常數(shù)據(jù)包�。為了減少路由器的日志量,在配置模式下使用"ip disable icmp-messages destination-unreachables"來禁止此類信息的轉(zhuǎn)發(fā)。
這個(gè)ICMP故障均由ICMP引發(fā)�,而且從某種角度上講都不是系統(tǒng)配置上的問題,而是由于外部因素引起的���。此類ICMP故障需要我們經(jīng)過一定的分析才能查出原因�,再作相應(yīng)的配置才能排除ICMP故障�。
關(guān)鍵詞標(biāo)簽:ICMP故障,路由器,故障
提示dns服務(wù)錯(cuò)誤怎么辦 dns錯(cuò)誤問題多種解決方法