如何快速找到下载主机，解决网络拥塞问题。

如何快速找到下载主机，解决网络拥塞问题？毫无疑问，最快的就是sniffer，抓下来一看就清楚了。但是今天俺比较倒霉，遇到一个不能作配置的交换机（现在的交换机太便宜了，基本上没有hub了），抓不到包。但是都到了用户机房了，怎么也得弄点明堂出来啊。用户故障现象是：最近几天上网非常慢，比联通的cdma还要慢；用户非常懒，联怎么接到电信的都不知道；用户非常好学，看见我用sniffer就想copy一个。
用户网络结构如图：

非常幸运，用户的中心交换机上只有4条网线，说到这里，大家肯定知道我要干嘛了。
1、接手提到用户中心交换机，配置ip地址（192.168.1.X，比较懒的用户，ip地址一般都是这个）
2、ping 192.168.1.1 通，延时正常<10ms , ping 公网ip，延时 900ms左右，丢包30％。用户内网不拥塞，出口拥塞。故障应该为电信线路问题或者流量拥塞（用户内网100M，出口是adsl 2M ，拥塞的可能性比较大）
3、顺序拔掉1、2、3，发现拔掉2的时候，延时降低，应该是2上的问题。但是中心交换机上抓不到包，不知道是那个ip，也就查不到具体那台电脑了。据说2上还有很多用户。用户要求找出是那个虾米在捣乱。
4、想想没办法啊，又抓不到包，难道去到2的交换机上一条一条拔线啊，万一又几个人下载或者2上很多线呢？索性将2接到手提上：看到如下惊人一幕

虽然网络已经中断，但是1.100还在不断的与它的资源通信，^_^。源端口固定，目的端口这么分散，应该不是攻击，那就是下载咯。
5、以为万事大吉，用户却说全部是DHCP的……狂晕，让用户自己搞。