問題表現 

一個上千臺電腦的政府單位， 有著高端防火墻和IDS產品，  突然出現上網速度緩慢， 甚至無法打開網頁的現象。 在機房中進行ping包測試， 發現中心交換機到內部主機的ping包響應時間正常， 但ping外部DNS時響應時間較長， 且出現間歇性丟包。 登錄到交換機， 發現交換機占用負載較大， 但防火墻和IDS都沒有對該事件進行報警。 檢查交換機ARP表卻沒發現異常， 于是清除交換機的ARP表并重啟交換機， 但故障仍然存在。  

原因分析 

首先對網絡的數據進行檢查， 管理者采用網絡分析軟件進行抓包分析， 將網絡分析采集軟件部署在中心交換環節。 通過使用成都科來軟件有限公司的網絡分析軟件分析， 獲得了大量的真實數據， 從分析的結果數據中， 管理者發現以下問題： 

1．由于網絡幾乎癱瘓， 網絡流量并不高， 兩分鐘的流量不足140MB， 但網絡連接數非常高， 達16540次；通過連接數排序， 找到連接數最大的IP地址是10.8.24.11， 在兩分鐘內收發的流量只有133M， 但連接數遠高于其他IP。  

2．網絡分析結果顯示445端口請求次數高， 并且都來自于IP為10.8.24.11的主機。 從數據顯示， 它在向內網所有IP發送445端口請求數據包， 產生的頻率每秒高達140次（如數據包來源追蹤表）。  

解決方法 

1．隔離。 管理者發現問題后， 首先采取的措施是隔離問題源， 在交換機上拔掉10.8.24.11機器的網線， 整個網絡恢復， ping外網IP響應時間正常， 可以正常訪問網頁。  

2．問題排除。 對主機10.8.24.11進行檢查時， 發現它在進行大量BT下載， BT是一種點對點傳輸方式， 會大量占用網絡資源， 從而影響正常網絡訪問的速度， 網絡會變得很慢。 除此之外， 對10.8.24.11進行檢查， 這臺主機是內網一臺重要服務器， 中了一種新的蠕蟲病毒， 并在內網進行大量掃描攻擊。 管理者通過專殺工具殺毒后， 服務器恢復正常。