ROS无型杀手web-proxy

安徽宇辰

(CPU100%,外网占用部分流量)现象及解决方法2009-06-14 21:57今天帮朋友解决了一个特别奇怪的事..

现象:

ROS配置为945主板.1G内存.双intel82541千M网卡.ROS2.9.27版本.15M光纤拉210多台机

CPU占用100%..网络不顺畅..ping值不高但有掉包现象..

分析:

用Torch工具查外网网卡连接..发现有N多不明IP连接ROS路由的3128端口..再进防火墙的连接一看..如下图:



上面的图可以看出..大量的外网IP连接到ROS上的3128端口..被我擦掉的就是ROS的外网IP..

我想大家都知道3128是什么端口了..网上的HTTP代理端口..这台ROS已经成为了网上的一台代理服务器了..呵..

为了确认是否ROS被人开了web-proxy服务..我们进入ip --- web-proxy 查看..里面是空的..但还有这么多连接?怎么回事呢?

这时我们不应该被这个现象给骗了..要知道web-proxy只需要运行服务就OK了..下面我们利用命令在telnet下查询是否开启了web-proxy服务(如下图)



enabled: yes      呵..服务器开启了..

分析结果:此ROS已经成为了网络上了一台HTTP代理服务器..此理有N多的客户连接你的ROS..ROS负何过重而CPU100%..因被代理而占用了部分网吧流量!

再度证实:

即然我们成为了HTTP代理服务器..那么我们用IP搜索方法上百度搜一下..

在百度里输入domain:58.61.XX.XX搜索..结果如下:



呵..N多..还是速度最快的HTTP代理..哈..

处理方法:
即然我们知道被人开启了web-proxy 服务..那么我们关了他就OK了..

关闭web-proxy 服务命令如下:

ip web-proxy set enabled=no transparent-proxy=no

在telnet下执行..执行后我们再查一下是否已经关闭..命令如下:

ip web-proxy print

返回结果如下:

[admin@MikroTik] > ip web-proxy print
                 enabled: no
             src-address: 0.0.0.0
                    port: 3128
                hostname: "proxy"
       transparent-proxy: no
            parent-proxy: 0.0.0.0:0
     cache-administrator: "webmaster"
         max-object-size: 4096KiB
             cache-drive: system
          max-cache-size: none
      max-ram-cache-size: unlimited
                  status: stopped
      reserved-for-cache: 0KiB
reserved-for-ram-cache: 405504KiB

enabled: no 呵..已经关了..

清除原有3128非法连接(也就是清除第一个图片上的连接)命令如下..

/ip firewall connection remove [/ip firewall connection find tcp-state=established]

好了..大功告成..还有一个更直接的方法..

第二个方法如下(需要重启)

进入系统的组件包管理..

System ---- Package 我们可以看到有web-proxy这个组件包..我们卸了他重启就OK了..如下图:




大伙测试完web-proxy服务后记得要用命令关闭..不然你的ROS同样可以成为网络中的HTTP代理服务器.. 切记切记呀...