打开会话视图，查看该主机的TCP会话情况，如图4。

 
图4

　　在该主机的TCP通讯中，我们可以看到：该主机尝试通过不同的端口试图与其他IP建立连接，发送的数据包大小均为246B，但是，并没有收到目标主机的任何回应数据包，这说明，其发送的同步数据包被目标主机复位终止了连接或目标主机均为异常的IP地址，是该主机感染病毒后随机向其他主机发送同步连接数据包以试图感染其他主机。所以，综合以上的判断，我们确定，192.168.1.2这个主机感染蠕虫病毒，正在发送大量的数据包进行扫描以试图感染其他主机。

　　通过类似的方法，我们发现：192.168.1.94这个IP也存在同样的行为，不过，扫描方法由TCP扫描变为了UDP扫描，目标主机也基本是内网IP，并且，其发包的频率也非常快，1秒左右的时间就会发起10个同样的数据包，以试图攻击或感染其他主机，对网络带宽的耗费是非常严重的。如图5和图6。

 
图5

 
图6

其次，通过UDP会话，我们还发现，IP地址为192.168.1.13的这个主机也存在异常情况，该主机基本全是接收的数据包并没有发送数据包，外网IP不断尝试连接该主机的3325端口，这就说明，该主机感染了木马病毒或正在被攻击。如图7。

 
图7

　　综合以上分析，我们对192.168.1.2、192.168.1.94以及192.168.1.13进行了断网隔离，再同时接上电信以及网通双出口，网络未发现异常；同时，对这3台主机进行检查，发现192.168.1.2与192.168.1.94感染病毒，而192.168.1.13则被植入木马，从而导致网络几近瘫痪。至此，通过科来网络分析系统对网络通讯的分析，网络故障全面排除。