商业窃密真是无孔不入，让人防不胜防！最近协助进行局域网排障，谁也没有想到却揪出了一位商业窃密者。为了引以为鉴，下面就还原此次非同寻常的网络排障过程。

　　一家建筑设计公司在本地非常知名。公司的网络规模不大，152台主机根据单位职能部门分为5个子网分别由HUB连接到交换机。由于公司内部的协同办公比较频繁，除了一个在线的视频系统外还部署了一台文件服务器单独为一个子网方便数据的共享和交流，公司对外Internet需求不是很大，通过路由器连接到Internet。

　　某天，该单位的网络突然出现严重堵塞，主机间的数据频频中断协同办公不能正常进行，在线视频系统也时常掉线。另外，无论是从文件服务器中上传还是下载文件都异常缓慢，有时会因超时而中断。主机能够连接到Internet，但是网速缓慢，打开一个网页需要很长时间。网络故障蹊跷。

　　首先在一台主机上用ping命令测试到网关的连通性，输入命令“ping 192.168.2.1 -n 1000”发送1000个Ping包测试网关。测试结果可以ping通网关，但是发现掉包现象很严重，1000个包有720个包丢了，丢包率为72%，而且持续掉包时间也很长。运行arp -a命令，发现网关IP和网关MAC地址指向正确。通过上面的测试基本排除网络设置错误以及ARP欺骗。

　　为了便于分析，决定用Sniffer在局域网中进行抓包分析。于是在核心交换机上做镜像用Sniffer对整个内网(五个子网)进行监控。首先进入“dashboard”(仪表面版)，发现网络利用率达到了97%，这是很不正常的现象。笔者判断以该单位的网络规模以及日常业务量网络利用率应该在20%-30%之间，应该有较大的网络盈余。这样我们可以断定，造成网络丢包的根源应该是异常流量占用大量的网络带宽所致。那这些异常流量来自何处呢？

[1]  [2]