基于此，笔者断定：IP为10.8.24.11的主机感染蠕虫病毒后，病毒自动通过网络与其他主机的TCP445端口建立连接，试图感染其他主机，严重耗费了网络资源，造成网络整体性能的下降，严重时可使网络大面积感染病毒，导致网络上的主机全部瘫痪。笔者将IP为10.8.24.11的主机与网络隔离，并对其进行病毒查杀，查杀后重新接入网络。

　　二、二度追踪，揪出黑客

　　1、阴魂不散，故障重现

　　本来以为问题已经解决，谁知不到一天，该公司的网管员又告诉笔者，公司的网络流速不稳定，虽然没有上次那样大面积长时间的停滞，但是还会很有规律地在上班时间发生网络拥堵，网速缓慢。

　　2、工具先行，步步追踪

　　笔者首先用网络分析软件在网络的中心节点上进行抓包，时间为20分钟。通过分析，笔者发现有大流量的数据从外网通过路由器转发到一个IP地址为10.8.9.17的主机上。这个数据流占了从外网流入数据的80%以上。笔者通过查看管理员整理的IP地址与MAC地址对应列表，这台主机的MAC地址为：00-0A-E6-98-84-B7，原来这是一台文件服务器，主要用来实现企业内部文件的共享。为什么会有外网的数据转发到这个服务器呢?笔者马上对这台服务器进行检查。检查结果让该企业的管理员非常惊讶——这台文件服务器竟然被配置成了代理主机!(图5)

    
    难道这台文件服务器被人入侵了?事情没有那么简单，入侵者为什么要把它配置成代理服务器呢?难道入侵的不仅仅是这台服务器，连路由器也被入侵了吗?笔者通过管理员登录路由器，果然发现有人在路由器上做了设置，有许多端口转发到了这台文件服务器上。

　　现在原因很清楚了：有人入侵了文件服务器，并把它配置成代理服务器;然后利用管理员密码控制了路由器，在路由器上设置了端口转发，把外网的数据转发到文件服务器上，最后在自己的主机上设置代理上网，通过P2P软件下载大型文件或者看电影、玩游戏，造成网络拥堵。

　　那么，入侵者为什么要这样做呢?原来该企业规定员工不能联入Internet，网管在路由器上做了限制。肯定是有员工通过这个方式在上班时间联入Internet。那他又是如何控制路由器的呢?笔者了解到，路由器采用的是默认的用户名，密码是英文和数字的组合，是姓名和电话号码的组合。显然，入侵者通过社会工程学获取了路由器的密码，然后控制了路由器。