1. 環境及現象簡介

用戶的網絡是一個IDC網絡環境，包括局域網和Internet接入，其中Internet接入為兩條千兆以太網接入，內部局域網多是游戲網站寄放的游戲服務器主機。

網絡拓撲如下：

該網絡出現網絡性能突然下降，但沒有發現網絡設備出現異常。

2. 找出產生網絡流量最大的主機

我們同樣利用Sniffer的Host Table功能，將該IDC所有計算機通過Internet出口的網絡流量按照發出數據包的包數多少進行排序，結果如下圖。

我們從上圖，Sniffer的host table中可以看到IP地址為210.51.8.89的主機發出了15146個數據包，遠遠超過其他的網絡主機。

我們通過上圖可以看到，這臺主機發包的目標主機只有一個，就是IP地址為209.198.152.200的主機。同過Sniffer的Decode功能，我們分析該主機發出的數據包內容。

我從Decode內容看，我們發現IP地址為210.51.9.89的主機向IP地址為209.198.252.200的主機發出的都是DNS數據包，但是是不完整的數據包，同時其發包的時間間隔極短，每秒鐘發包數量在100,000個數據包以上，這是種典型的網絡攻擊行為，初步判斷為黑客首先攻擊寄存在IDC的網絡主機，在取得其控制權后利用這臺主機向目標主機發起拒絕服務（DOS）攻擊，由于該主機性能很高，同時IDC的網絡性能很高，造成這種攻擊的危害性極大。