問題表現

　　一個上千臺電腦的政府單位， 有著高端防火墻和IDS產品， 突然出現上網速度緩慢， 甚至無法打開網頁的現象。 在機房中進行ping包測試， 發現中心交換機到內部主機的ping包響應時間正常， 但ping外部DNS時響應時間較長， 且出現間歇性丟包。 登錄到交換機， 發現交換機占用負載較大， 但防火墻和IDS都沒有對該事件進行報警。 檢查交換機ARP表卻沒發現異常， 于是清除交換機的ARP表并重啟交換機， 但故障仍然存在。

　　原因分析

　　首先對網絡的數據進行檢查， 管理者采用網絡分析軟件進行抓包分析， 將網絡分析采集軟件部署在中心交換環節。 通過網絡分析軟件分析， 獲得了大量的真實數據， 從分析的結果數據中， 管理者發現以下問題：

　　1.由于網絡幾乎癱瘓， 網絡流量并不高， 兩分鐘的流量不足140MB， 但網絡連接數非常高， 達16540次;通過連接數排序， 找到連接數最大的IP地址是10.8.24.xx， 在兩分鐘內收發的流量只有133M， 但連接數遠高于其他IP。

　　2.網絡分析結果顯示445端口請求次數高， 并且都來自于IP為10.8.24.xx的主機。 從數據顯示， 它在向內網所有IP發送445端口請求數據包， 產生的頻率每秒高達140次。

　　解決方法

　　1.隔離。 管理者發現問題后， 首先采取的措施是隔離問題源， 在交換機上拔掉10.8.24.xx機器的網線， 整個網絡恢復， ping外網IP響應時間正常， 可以正常訪問網頁。

　　2.問題排除。 對主機10.8.24.xx進行檢查時， 發現它在進行大量BT下載， BT是一種點對點傳輸方式， 會大量占用網絡資源， 從而影響正常網絡訪問的速度， 網絡會變得很慢。 除此之外， 對10.8.24.xx進行檢查， 這臺主機是內網一臺重要服務器， 中了一種新的蠕蟲病毒， 并在內網進行大量掃描攻擊。 管理者通過專殺工具殺毒后， 服務器恢復正常。