大，逐个手动查找肯定是麻烦的，于是通过网络分析软件来查找故障主机。经过一些镜像设置，我将“科来网络分析软件”安装到笔记本上，并接入到该公司的中心交换设备的镜像端口处抓包，30分钟过去了，停止捕获并开始分析。关键数据还是很多的，通过查看捕获的数据包，我第一感觉是该公司的网络可能感染了蠕虫病毒，该病毒在在网络中感染其它的主机，产生了数据风暴，使网络性能下降。

　　我首先查看“诊断视图”，发现在“诊断视图”中“TCP重复的连接尝试”很多，居然达到了31126次，这是很不正常的情况。为了找到更多的“证据”来证明，在“端点视图”按网络连接排序，发现10.8.24.11这台主机的网络连接数名列榜首。

图2 诊断视图

　　这时我定位分析这台主机(10.8.24.11)，查看“会话视图”中的TCP 连接情况，发现全是10.8.24.11向目的主机的445端口发起的连接。这恰好证明了我的猜测，该主机可能感染蠕虫病毒，且该病毒正在试图感染其它主机。

图3 会话连接示意图

上一页  [1] [2] [3] [4] 下一页

      然后在“概要统计”里，查看主机10.8.24.11的TCP数据包情况，在30分12秒的时间里，10.8.24.11主机共发起了29622个TCP 同步数据包，而结束数据包和复位数据包分别是3253和1387个。结合上面对该主机连接的分析，基本确定主机(10.8.24.11)感染蠕虫病毒。

图4 TCP数据包对比图

　　4.故障解决

　　主机10.8.24.11 感染蠕虫病毒，病毒自动通过网络与其它主机的TCP445端口建立连接，试图感染其它主机，这样严重耗费网络资源，造成网络整体性能下降，严重时可使网络大面积感染病毒，引发网络的主机全部瘫痪。将主机10.8.24.11与网络隔离，并对其进行病毒查杀，查杀后再重新接入网络。

　　5.故障重现

　　本来以为事情结束了，谁知不到一天，网络管理员又告诉我，公司的网络流速时好时坏，虽然没有上次大面积长时间的停滞，而是很有规律地在上班时间发生网络拥堵，网速缓慢。

　　6.故障分析

　　首先用网络分析软件在网络的中心节点上进行抓包，抓包时间20分钟。通过分析发现有大流量的数据从外网通过路由器转发到一个MAC地址为00-0A-E6-98-84-B7的主机上。数据流占了整个从外网流入数据的80%以上。通过查看管理员整理的MAC列表，找到这台主机。这是一台文件服务器，主要用来企业文件的共享。这让人费解，为什么会有外网的数据转发到它呢?马上对这台服务器进行检查，检查结果让该企业的管理员非常惊讶，这台文件服务器竟然被配置成了代理主机!

图5 故障分析结果显示

     难道这台文件服务器被人入侵了?我感觉事情没有那么简单，入侵者为