故障现象:
行政楼该区部分用户发送邮件时不能发带有大附件的邮件,有时不能打开网页
故障分析:
接到用户的请求后,我们对网络进行了全方面的检测,首先为故障客户端更换交换机接口,但是更换后故障依旧。于是我们怀疑可能网线存在问题,但是客户端却能上网,并且我们也对客户端的网线进行了更换,但是故障仍然存在。
为了进一步检测,我们将故障客户机更换到网络正常的客户端处,连接好网线,发现邮件可以正常发送,网络恢复正常。后来我们又将故障客户端恢复到原来位置,再次发送测试,发现故障消失,网络恢复正常。
以此判断通过常规方式无法检测出网络故障,最后我们决定抓包分析。
通过抓包分析我们发现在网络中有部分计算机不停地对暴风影音发起连接,当连接不上时再发出大量的包探测内网DNS,并不停地让DNS解析关于暴风影音的连接。如此不停地循环造成网络中充斥着大量的无用数据包。
根据抓包得到的地址我们找到了问题客户端,发现在客户端的进程中存在一个stromliv.exe,该进程在客户机启动时自动启动,在启动后向暴风影音发起连接。
经查看我们发现用户使用的暴风影音的版本是Strom3-3.07-12.20-55.exe,该版本在安装后就会生成一个stromliv.exe这样的一个文件,该程序曾经在2009年5月19日,造成中国15个省市数以亿计的网民遭遇了罕见的“网络塞车”。
解决建议:
经操作可知该文件可以直接在系统中删除,删除后不影响该软件的使用
更换软件到最新的版本,经我们安装发现不管是2011版还是2012版的暴风影音在安装后都不在存在上述问题
更换视频播放软件
另建议在采取措施后对网络的数据包进行抓取分析,以确定网络正常运行。
