單位局域網(wǎng)，3臺服務(wù)器群集管理，安裝有趨勢科技的防毒服務(wù)器版，每日自動更新病毒庫和掃描引擎。1臺銳捷S4909三層交換機，下接14臺SMC二層交換機，其中網(wǎng)絡(luò)中心的交換機通過ADSL＋寬帶路由器的方式和外網(wǎng)相連。局域網(wǎng)中有180多個工作站，使用固定IP地址，工作站安裝有還原卡，在每次啟動時自動還原到系統(tǒng)初始設(shè)定值，并從服務(wù)器上下載更新工作軟件，以確保操作系統(tǒng)的安全、軟件運行環(huán)境的正確及使用最新版本的軟件。

　　網(wǎng)速好慢

　　有十多個用戶報告工作站啟動時無法從服務(wù)器上更新工作軟件，流量高峰期所有用戶均報告響應(yīng)速度慢，極易提示沒有響應(yīng)。該現(xiàn)象持續(xù)了一周左右，一直沒找到原因。

　　IP分配有問題

　　首先可以排除工作站網(wǎng)卡的問題，因為十多臺工作站的網(wǎng)卡同時出現(xiàn)故障的可能性幾乎不存在。其次，工作站軟件問題因為系統(tǒng)還原的原因也可以排除。

　　關(guān)閉寬帶路由器以斷開外網(wǎng)的連接，故障依舊。檢查服務(wù)器防毒軟件的日志，沒有發(fā)現(xiàn)異常報告。檢查其中一臺出錯工作站（ 192.168.1.103，下稱103#工作站），在該工作站上ping群集IP地址（192.168.1.1）時，提示超時，而此時從中心工作站（192.168.1.19，下稱19#工作站）也無法ping到103#工作站，好像問題在網(wǎng)絡(luò)上。

　　奇怪的是，在103#工作站上ping服務(wù)器實際IP地址（192.168.1.2）時，都很正常，而且此后進(jìn)行的網(wǎng)絡(luò)動作都有正常的響應(yīng)，只是速度還是偏慢，停止響應(yīng)的頻率較其他工作站高，但是只要同時在DOS窗口下保持連續(xù)ping服務(wù)器的IP地址，則該工作站可正常運行！

　　同時在網(wǎng)絡(luò)中心工作站上使用多種單機版殺毒軟件對103#工作站進(jìn)行遠(yuǎn)程查殺病毒，均無功而返！

　　為避免在工作站和網(wǎng)絡(luò)中心間來回奔走，遂將103#工作站帶回網(wǎng)絡(luò)中心進(jìn)行分析研究。無意中發(fā)現(xiàn)一個奇怪的現(xiàn)象：19#工作站正在ping 103#工作站，而且每一個發(fā)出的數(shù)據(jù)包都有正常的響應(yīng)。大為不解，103#工作站明明已經(jīng)下網(wǎng)了，怎么可能有響應(yīng)呢再說根據(jù)網(wǎng)絡(luò)規(guī)則即使有相同IP地址的工作站，也應(yīng)該會在登錄網(wǎng)絡(luò)時提示，同時禁用后來的工作站，可是現(xiàn)在卻沒有提示。

　　將103#工作站接入網(wǎng)絡(luò)，ping服務(wù)器IP地址（192.168.1.2），仔細(xì)觀察返回的數(shù)據(jù)包，發(fā)現(xiàn)每7～10個中就有1個的time超過150ms，綜合上述現(xiàn)象，初步可以斷定這個異常數(shù)據(jù)包來自一個未知信息點。

　　斷開103號工作站，在19號工作站上用Telnet訪問該未知信息點，居然有登錄界面出現(xiàn)，要求輸入Username和Password，胡亂試了幾次都沒有成功，嘗試著轉(zhuǎn)到IE上用192.168.1.103進(jìn)行訪問，出現(xiàn)了友好的訪問界面。仔細(xì)觀察發(fā)現(xiàn)，竟然是樓層交換機的管理界面?？磥碓揑P地址是分配給這臺交換機了。