病毒造成的特别故障

这是一次比较特别的故障，客户报障x.x.1.114/26无法远程连接。经过一个小时的现场处理，还是不能解决。 得到现场人员的情况说明后，从各方面考虑有可能造成故障的原因: 1. 由于近期网络经常有arp出现，于是telnet 到三层交换机用dis arp vlan 2003 和 dis log 分别查看了arp 及日志；结果显示一切正常，于是叫现场人员在服务器终端用命令arp -a 所得结果也是正常。 2. 没有arp攻击只好转向网络方面排查，于是打开流量图查看有什么异常；结果却是大于x.x.1.65/26的每个柜流量图都大致相同如下图:

打开机柜流量图，上联端口的流量图如下图:

打开机柜的具体IP的流量图如下图:

打开x.x.1.114/26这个机柜的流量图如下图:

打开x.x.1.114/26这个IP的流量图如下图:

从以上流量图很难判断具体哪台服务器有问题，本人判断有可能是114这台机子有问题，但没有接触过同类事件，不敢肯定；加上近期金盾防火墙也是处于不稳定状态，于是联系金盾厂家的售后服务员，可是他们搞了一个晚上也没有结果。 客户在不得已下重装了系统，问题就解决了，客户随即在服务器上进行杀毒，结果查杀出问题的所在。 经过与客户沟通分析，这次故障的原因是114这台服务器中病毒后向外发广播；造成了流量图异常只有114无法远程连接，而其它服务器都正常的现象。