1. 環(huán)境及現(xiàn)象簡介
　　用戶的網絡是一個IDC網絡環(huán)境，包括局域網和Internet接入，其中Internet接入為兩條千兆以太網接入，內部局域網多是游戲網站寄放的游戲服務器主機。網絡拓撲如下：

該網絡出現(xiàn)網絡性能忽然下降，但沒有發(fā)現(xiàn)網絡設備出現(xiàn)異常。

2. 找出產生網絡流量最大的主機
　　我們同樣利用Sniffer的Host Table功能，將該IDC所有計算機通過Internet出口的網絡流量按照發(fā)出數據包的包數多少進行排序，結果如下圖。

我們從上圖，Sniffer的host table中可以看到ip地址為210.51.8.89的主機發(fā)出了15146個數據包，遠遠超過其他的網絡主機。

　　從上圖中我們可以看到，該主機發(fā)出的數據包占所有主機發(fā)出的數據包總數的79.39，網絡中絕大多數的數據包竟然是這一臺主機發(fā)出的，對于一個IDC來講，這是非常異常的現(xiàn)象。
3. 分析這臺主機的網絡流量
首先我們分析該主機的網絡流量流向，也就是分析它在向誰發(fā)包，我們利用Sniffer的Matrix功能來監(jiān)控。

　　我們通過上圖可以看到，這臺主機發(fā)包的目標主機只有一個，就是IP地址為209.198.152.200的主機。同過Sniffer的Decode功能，我們分析該主機發(fā)出的數據包內容。

　　從Decode內容看，我們發(fā)現(xiàn)IP地址為210.51.9.89的主機向IP地址為209.198.252.200的主機發(fā)出的都是DNS數據包，但是是不完整的數據包，同時其發(fā)包的時間間隔極短，每秒鐘發(fā)包數量在100,000個數據包以上，這是種典型的網絡攻擊行為，初步判定為黑客首先攻擊寄存在IDC的網絡主機，在取得其控制權后利用這臺主機向目標主機發(fā)起拒絕服務（DOS）攻擊，由于該主機性能很高，同時IDC的網絡性能很高，造成這種攻擊的危害性極大。