公司同城分支机构反映他们的网速这几天从之前的小汽车变成牛拉车了,开个网页茶都凉了。本着“急人所急,想人所想”的服务意识,带着设备和工具打车上门。 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />

经过简单咨询,证实ISP端没有问题,单机直连ISP速度很流畅,应该是网内问题。

1、 首先检查有没有“环路”,好在只有4台二层交换机,稍微理理没有发现有回路存在。

2、 其次使用ARP防火墙软件查看网内是否有ARP广播包,结果证实没有。

3、 那么肯定是网内有机器中毒了。于是着手准备抓取内网数据包,分析一下内部有什么可疑数据。

这里使用的协议分析工具是WildPackets.OmniPeek,新建一个抓包任务,设置的Buffer Size为100M。

点击了Start Capture后,因为包多,界面刷屏的厉害,证明数据包很多。100M的Memory Usage仅用了10秒就用完了,平均每秒10MB/s,百兆带宽全给用了,能不慢吗?

接下来就是要找占用带宽最多的网络协议了。哇塞,UDP协议占去了91%的比重,100M数据中就有90M多。局域网内怎么可能有这么多UDP数据包,肯定是有病毒了。到底是那些IP制造了这些数据呢?

双击UDP该行进入详细统计后发现,有2个内网IP和多个公网IP的UDP通讯达到了很大比例。于是怀疑这2台电脑,应当机立断。可4×16=64个口到底哪个是呢?该局域网也没有配置档案可查。这时候注意到TP-LINK交换机上除了上联和级联口信号灯狂闪的厉害之外,还有一个口也闪个不停,拔掉这口网线后,抓取的包立马减少,Memory Usage消耗逐渐减少,这2个内网IP的数据包也不见了。

带宽很快清闲很多,网络恢复正常。稍后才知道罪魁祸首就是这根网线,级联了一个HUB,2台中毒电脑就在其中。