然后在“概要统计”里，查看主机10.8.24.11的TCP数据包情况，在30分12秒的时间里，10.8.24.11主机共发起了29622个TCP 同步数据包，而结束数据包和复位数据包分别是3253和1387个。结合上面对该主机连接的分析，基本确定主机(10.8.24.11)感染蠕虫病毒。

图4 TCP数据包对比图

　　4.故障解决

　　主机10.8.24.11 感染蠕虫病毒，病毒自动通过网络与其它主机的TCP445端口建立连接，试图感染其它主机，这样严重耗费网络资源，造成网络整体性能下降，严重时可使网络大面积感染病毒，引发网络的主机全部瘫痪。将主机10.8.24.11与网络隔离，并对其进行病毒查杀，查杀后再重新接入网络。

　　5.故障重现

　　本来以为事情结束了，谁知不到一天，网络管理员又告诉我，公司的网络流速时好时坏，虽然没有上次大面积长时间的停滞，而是很有规律地在上班时间发生网络拥堵，网速缓慢。

　　6.故障分析

　　首先用网络分析软件在网络的中心节点上进行抓包，抓包时间20分钟。通过分析发现有大流量的数据从外网通过路由器转发到一个MAC地址为00-0A-E6-98-84-B7的主机上。数据流占了整个从外网流入数据的80%以上。通过查看管理员整理的MAC列表，找到这台主机。这是一台文件服务器，主要用来企业文件的共享。这让人费解，为什么会有外网的数据转发到它呢?马上对这台服务器进行检查，检查结果让该企业的管理员非常惊讶，这台文件服务器竟然被配置成了代理主机!

图5 故障分析结果显示