【IT专家网独家】最近，笔者附近的一家中型企业的网络出了故障。管理员反应的主要症状为：公司局域网网络网速缓慢，且出现延迟现象，登录服务器很久都没有响应，时常提示超时。笔者初步判断这是一起普通的网络故障，可能是病毒引起的网络异常数据流，占用了大量的带宽，拥堵了网络。因为网络中的交换机和路由器灯长明、狂闪。谁知道，这次普通的网络维护，却揪出了这家企业一位隐藏的攻击者。

　　首先交代一下该公司的网络结构：该公司内网在三层交换处划分了VLAN，最后通过路由器与Internet 连接，网内大概有200台电脑，网络拓扑如图1。

　　一、首次追查，直捣毒源

　　1、案例分析，步步为营

　　笔者作为一名协助人员对这家企业的网络故障进行了分析。可能是该公司网络管理力度不够，网络部署不够严密，网络中可能存在ARP欺骗。ARP风暴吞噬了网络带宽，影响了网络响应的速度。

　　由于该公司主机数量比较大，逐个手动查找肯定很麻烦，于是笔者决定通过网络分析软件来查找故障主机。经过一些镜像设置，笔者将“科来网络分析软件”安装到笔记本上，并接入到该公司的中心交换设备的镜像端口处抓包。30分钟以后，停止捕获并开始分析。关键数据很多，通过查看捕获的数据包，笔者第一感觉是该公司的网络可能感染了蠕虫病毒，该病毒在网络中感染其他主机，产生了数据风暴，使网络性能下降。

　　首先查看“诊断视图”，发现在“诊断视图”中显示的“TCP重复的连接尝试”居然达到了31126次。这是很不正常的情况。为了找到更多的证据来证明，笔者在“端点视图”按网络连接排序，发现IP为10.8.24.11的主机网络连接次数名列榜首。