某公司网络PING延迟故障案例解析 - Net130Com.DOC

某公司网络PING延迟故障案例解析 故障描述 故障地点： 石家庄某公司 故障描述： 网络通讯严重阻塞，用户访问外网服务器以及互联网的速度均非常缓慢，甚至不能访问，PING网关延期。如图： 故障详细分析 前期分析 初步判断引起问题的原因可能是： ARP病毒 网络病毒攻击 开始实际工作配差 登录到各交换机，查看内存及CPU的利用率，均正常。 通过OMNIPEEK捕获并分析网络中传输的数据包，具体过程如下。 在核心交换机上做好端口镜像，启动OMNIPEEK，约3.08分钟后停止捕获并分析捕获到的数据包。 XX公司网的主机约为300台，一般情况下，有200台左右上网，等停止分析后，我们在OMNIPEEK主界面左边的节点浏览器中发现的主界面查看，在EXPERT的Hierarchy中查看，诊断tcp connection refused时间竟然达到了5731个，感觉很是不对。如图： 进行定位查看，发现有一台计算机极为不正常如图： 由以上看到，可能被外部的DDOS攻击，可能是此计算机感染病毒，进一步查看如图： 可以看到外网计算正在通过135端口正在扫描此计算机，因此可以断定正在被DDOS攻击，此计算机一定感染了木马之类的蠕虫病毒。 找到问题的根源后，正准备对CAI2主机进行隔离，过了一会儿，再次PING网关，还是延迟，但不是太严重了，感觉还是有计算机感染病毒或有ARP攻击，随即再次分析此包，但最