检查网络酒吧网络状况以排除网络故障

网络环境
网吧大约有200台电脑，使用双WAN插座（电信和网通）上网。网络结构比较简单，外部网络、路由器、主交换机、两级交换机和客户端。
故障详细描述
同时连接到两个网络出口，通信网络访问异常，网速慢，甚至很多用户无法访问，在客户端测试ping包时发现，本地客户端严重丢失，断开网络网通网络导出，但恢复正常，没有异常ping包测试。
故障分析
断开网通线路后，网络接入正常。最初怀疑是网通线路问题。因此，笔记本电脑连接到网通线路测试单独，一切正常，所以网通线路问题首先排除。排除线路问题后，我们把重点放在内部网络主机的检查。因为网络速度慢，断网，于是主人怀疑是ARP感染或其他在网络蠕虫的攻击，然后决定使用网络分析系统捕获分析，在交换机端口镜像的中心工作做好，在笔记本上安装一个网络分析系统，从一开始就中央交换机端口的笔记本电脑，在网络分析系统捕获的数据，捕获和分析捕获的数据包停止约6分钟后。
我们首先了解网络的整体运行状态。在总结统计来看，我们可以看到，网络的总流量1.828gb，和利用率近80%。这是慢速网络的一个重要指标。我们看参数信息，TCP，TCP数据包的同步和分组数据连接端分别为17796和9963，的工作原理我们知道，TCP TCP工作将首先通过三次握手建立一个连接，数据发送完成后，必须关闭在手的连接，将2个同步数据包，并关闭连接时，将2个同步数据包，因此，理论的，1的TCP连接同步数据包和连接的数据包应该大致相等，如果两包大，表明网络传输电流不正常。例如，图1。
U3000 U3000

请添加描述
图1

选择端点视图，我们发现IP地址是192.168.1.2，主机有更多的网络连接和更大的流量，所以我们找到IP和单独分析它。
在节点浏览器，选择192.168.1.2打开矩阵连接视图。我们看到主机的主机数达到1000，其中很大一部分是单向通信，如图2所示。
U3000 U3000

网吧
图2
打开图表视图，我们查看主机的TCP连接，如您所见，主机的TCP同步包、终端连接包和重置数据包的比例，如图3所示。
U3000 U3000

网吧
图3
打开会话视图以查看主机的TCP会话，如图4所示。
U3000 U3000

网吧
图4
在主机的TCP通信，我们可以看到，主持人试图通过不同的端口连接到其他的IP地址，发送数据包的大小是246b，但没有收到任何回应数据包到目标主机，这表明要同时发射根据目标主机复位终止连接或目标主机IP地址是不正常的数据包的数量，主机感染病毒到其他主机发送数据包到感染其他主机同步连接。因此，基于以上的判断，我们认为192.168.1.2主机感染蠕虫病毒发送大量数据包扫描，试图感染其他主机。

使用同样的方法，我们发现192.168.1.94 IP都会有相同的行为，但是，通过TCP扫描UDP扫描的扫描方法，目标主机也基本的IP网络，其频率也很快，大约一秒的时间就将推出同样的10包，或试图攻击其他宿主的感染，是非常严重的对网络带宽的成本。如图5和图6。
U3000 U3000

网吧
图5
U3000 U3000

网吧
图6
其次，通过UDP会话，我们也发现异常情况，主机的IP地址也存在192.168.1.13，主机基本上是完整的数据包的接收和发送数据包，网络IP尝试3325端口与主机相连，这表明感染病毒或木马的主机被攻击。例如，图7。
U3000 U3000

网吧
图7
基于以上的分析，我们从192.168.1.2净，192.168.1.94和192.168.1.13隔离，在电信和网通网络双出口的同时，也没有发现异常情况；同时，检查3台主机，发现192.168.1.94 192.168.1.2和病毒感染，而192.168.1.13被植入木马，导致网络几乎瘫痪。在这一点上，通过对网络分析系统的网络分析系统的分析、网络故障完全消除。