一、 故障描述

　　故障地点：

　　深圳某公司

　　故障描述：

　　网络通讯严重阻塞，用户访问外网服务器以及互联网的速度均非常缓慢，甚至不能访问，PING网关延期。

　　二、 故障详细分析

　　1. 前期分析

　　初步判断引起问题的原因可能是：

　　ARP病毒

　　网络病毒攻击

　　开始实际工作配差
　　
　　1、 登录到各交换机，查看内存及CPU的利用率，均正常。

　　2、 通过OMNIPEEK捕获并分析网络中传输的数据包，具体过程如下。
　　
　　在核心交换机上做好端口镜像，启动OMNIPEEK，约3.08分钟后停止捕获并分析捕获到的数据包。
　　
　　XX公司网的主机约为300台，一般情况下，有200台左右上网，等停止分析后，我们在OMNIPEEK主界面左边的节点浏览器中发现的主界面查看，在EXPERT的Hierarchy中查看，诊断tcp connection refused时间竟然达到了5731个，感觉很是不对。

　　可以看到外网计算正在通过135端口正在扫描此计算机，因此可以断定正在被DDOS攻击，此计算机一定感染了木马之类的蠕虫病毒。

　　找到问题的根源后，正准备对CAI2主机进行隔离，过了一会儿，再次PING网关，还是延迟，但不是太严重了，感觉还是有计算机感染病毒或有ARP攻击，随即再次分析此包，但最终没有找到可疑的计算机，其间也关闭了几个流量有问题的计算机，但问题还是不能解决，正在百思不得其解时，突然脑子一动：何不尝试着通过分析我自己的计算机，再排查故障呢？

　　于是笔者选择了科来网络分析系统6.7试用版啊？（笔者只有50个用户的抓包，因此刚开始选择了OMNIPEEK。）设置好过滤条件，这里为什么选在192.168.1.1呢，笔者怀疑是不是有人设置了和网关相同的IP地址呢？
   
　　打开自己的计算机进行PING，然后用科来进行抓包，58秒后如下图：
   
　　其中8c:68是笔者计算机的MAC，09:37为网关MAC，突然多出了一个A9:4D.
   
　　怎么A9:4D会作为网关呢？请教此公司管理员，得知核心交换机到网关在无其他设备了，因此感觉此计算机是自己设错了IP地址，将自己计算机的IP地址设为了网关IP地址。

　　三、 解决与心得分
　　
　　解决：
　　
　　1、找到此计算机，果然是设置了与网关相同的IP地址，管理员对其进行了严重警告。
　　2、先前CAI2的计算机感染了木马病毒，通过360进行扫描，查杀后问题解决。
　　
　　然后打包PING网关,一些OK
　　
　　心得：
　　
　　对于网络出现的问题，要认真分析，相信自己判断，多用几款协议分析软件是很用用的啊！
　　
　　以上便是笔者使用科来和OMNIPEEK诊断该公司网故障的全过程，在网络出现速度慢、时断时续、不能访问时，网管人员均可使用这种方法对故障进行诊断排查。