检查网络状况 排除网络故障(2)

选择端点视图，我们发现，IP地址为192.168.1.2这台主机的网络连接数较多，并且流量也比较大，所以，我们定位这个IP，单独对其分析。

在节点浏览器中选择192.168.1.2，打开矩阵连接视图，我们看到，该主机的通讯主机数达到了1000个，并且很大一部分为单向流量，如图2。

图2

打开图表视图，我们查看该主机的TCP连接情况。从中可以看到，该主机的TCP同步数据包、结束连接数据包以及复位数据包的比例，如图3。

图3

打开会话视图，查看该主机的TCP会话情况，如图4。

图4

在该主机的TCP通讯中，我们可以看到：该主机尝试通过不同的端口试图与其他IP建立连接，发送的数据包大小均为246B，但是，并没有收到目标主机的任何回应数据包，这说明，其发送的同步数据包被目标主机复位终止了连接或目标主机均为异常的IP地址，是该主机感染病毒后随机向其他主机发送同步连接数据包以试图感染其他主机。所以，综合以上的判断，我们确定，192.168.1.2这个主机感染蠕虫病毒，正在发送大量的数据包进行扫描以试图感染其他主机。