网络吞吐量大 网速缓慢，是什么引起的？

　　编者按：今天接到一客户的求助电话，说他的网络这几天非常缓慢，就算ping网关，延时也很大，快一个星期了，不知道是什么问题。因为他在外地，俺不方便及时上门处理，便叫他用sniffer捕些包过来给偶看看。

　　在收到他发过的来数据包之前，偶还在捉摸着有哪些的可能性，生怕他捕的包看不出问题，那样恐怕得跑上一趟了。

　　等到他把数据包发过来后，偶立刻打开，看到第一页，偶就松了口气，看起来，故障非常简单。请看图：

　　从上图我们看到，192.168.0.66的那台机器在0.000276秒的时间内连续往不同主机的ms-sql-S 端口发出了5个大小为66字节SYN（看上图红线所指）数据包，而且没有任何ACK的回应。这是极不正常的。再往下看，主机所发往EPMA（135）的数据包也是如此。由此我们基本可以猜测，他的内网有机器中毒了。为了证实这种猜测，我们继续分析。我现在想得到的数据是，看他此类数据包在整个流量内的比重。因为此类数据包有两个重要特征，一个是大小，都为66字节，一个只是SYN，没有Ack，所以，我们先从这两方面下手。看下图：

　　上图所示，65－127的数据包占全部通信量的81.96％。接着看：

　　上图所示，在整个TCP的连接中，SYN数据报所在比重是99.74％。由此我们现在差不多可以断定，在他的网络中，全是这种数据流。为了得到更准确的数据，我们转到协议分析那块继续了解。看下图：

　　上图中，TDS（Tabular Data Stream，表格数据流协议，数据库用的，既我们上面所说发往1433的数据包）占21.316％。我们打开它，看下由哪此机器所发。

　　我粗略算了下，大概有四五十台的样子，从这个取样中算出来的TDS的吞吐量是46M多，不得了，挺大的。再看发135端口的，在TCP里面，我们打开tcp：

　　我们看到EPMAP（135端口）所占当前TCP比重的55.817％，换成全局比重，应该达24.47％左右，加上TDS的21.316％，这两个东东的总流量占了全部通信量的45％多了，比较夸张。再看下发epmap的机器：

　　我这回精确算了下，有31台，取样的吞吐量是108M多，天啊，晕了！总共加起来，这两家伙所占吞吐量为150多M，这样的网络，不慢才怪了。

　　再回到前面，第一张图，我们还发现，目标地址全都是私网，且都不是0.0的网段，向客户确认，他说他那只有0.0的网段，由此，我们已经非常清楚，这两个东西，肯定是病毒。那它们到底是什么，到 google 上搜下，可以知道，一个是SQL蠕虫病毒，一个是利用135漏洞的蠕虫病毒。

　　那现在所要做的工作，就是杀毒了。不过客户说了下情总，说他们都有装趋势科技的网络版防火墙。俺估计，可能是没有升级病毒库或什么的。

　　总结：

　　对于网络的维护，和安全的保障，仅仅是靠安装防病毒软件是不够的，流量观察和协议分析也是日常的手段。