我给用户做故障诊断的实例分析...

故障现象：某天，某市国税局网络中心发现其核心交换机CPU使用率经常达到100%，导致网络速度非常慢，并且出现时通时断的问题。

解决过程：将FLUKE的INA连接到网络，通过INA的实时分析功能查看有问题的核心交换机的各端口实时流量，发现其中有一个端口流量持续很高，经常达到90%，并且连续检测1小时发现平均流量在50%以上，对照FLUKE的OPV-CONSOLE上对该端口的长时间历史记录发现以往正常应用时刻的平均值应该在15%左右，于是可以基本判定该端口今天流量异常。

立刻在OPV中查看该端口下联设备，发现该端口是连接到某一县局的2M线路，将该端口镜象到监测口上，通过INA捕获16M数据包分析，发现一个IP地址大量使用TCP的8447端口通讯，并且占据整体流量70%以上。通过快速的IP设备管理和端口定位功能快速的找到该设备是一台安装了SQL SERVER服务的应用服务器，连接在县局核心交换机的S3/P6口上，于是先拔去该服务器网线，省局的核心三层交换上CPU利用率立刻恢复正常，并且端口流量恢复到正常状态，初步判定该PC为故障源。

恢复服务器连接，将PE协议分析仪连接在县局该服务器所在网段，对其TCP的8447PORT流量进行捕包解码分析，发现为蠕虫病毒，检查服务器，确定原因为SQL没有及时安装补丁程序，被蠕虫病毒攻击后成为故障源。杀毒，安装补丁后解决问题。

解决服务器问题后，将PE协议分析仪连接在县局出口，在协议分析仪软件中对TCP 8447端口进行特殊定义（端口定义和特征码定义），对县局所有设备的应用进行滤波捕获，又找到多台已经被该蠕虫病毒感染的设备，均一一杀毒。

问题解决后，在PE协议分析仪软件的INI文件中增加对TCP 8447端口和病毒特征码的自定义，使得协议分析仪可以自动发现并对该病毒进行跟踪和报警，一旦病毒再发生，可以快速的知道病毒来自于哪个IP地址，和谁通讯，通讯量有多少。可以直接解包分析病毒数据包源代码。

诊断评点：对于网络中病毒的检测，最关键点是首先得通过分布式的网络监控和管理软件确定病毒源在哪个网段，哪个IP，然后通过协议分析仪分析病毒所使用的端口，特征码，定义该病毒后可以通过协议分析仪对该病毒进行跟踪和监测，自动报警。

单纯只有协议分析的功能，当怀疑网络中病毒的时候，我们根本不知道把协议分析仪连接在哪个网段，无法快速定位到病毒源，会大大增加病毒源查找的时间。所以，无法透视交换环境，就无法快速在全局下定位故障及监测点。

帮你顶一下，楼主，有空多发发这类文章啊！

好文章大家分享。

希望长发此类文章！

大家要的话,我会再发的...

但是我总觉得这里人气不是很旺盛啊...

这是你写的吗？

好像在哪里见过。

好东西!!能再发些病毒常攻击的什么端口的?

晕,除非在梦里见过，要么就是你在网管院世界见过类似的用OPV解决病毒问题的文章,那还有图,那是北京的案例

我这是江苏的亲身经历.......

ok

好文章！

如果你再给我一篇看的话

我会对你说3个字

谢谢你

好文章，就是OPV贵了点，呵呵

是啊，有多少部门有楼主的家伙？11楼老兄的装备也叫人垂涎。再说，在我们这里，就是有恐怕会用的人也不多

呵呵，其实在我看来

网络维护和故障诊断的关键首先是

正确的方法,然后是恰当的工具.

方法正确了,自然会有实现的手段和工具

能介绍个更有人气的论坛吗？

要的话可以联系我。我有大把的这样的案例

谢谢

顶一下了

好！

好装备,其实中病毒放火墙上应该也有提示的,而且还很详细呢,如果没有,也只有用排除法一个一个县的拔网线了,俺只有一个测线仪!

我喜欢