該用戶是基礎(chǔ)電信運(yùn)營(yíng)商省級(jí)分支機(jī)構(gòu)，經(jīng)營(yíng)的電信業(yè)務(wù)種類包括：移動(dòng)通信（GSM和 CDMA）、本地電話、國(guó)內(nèi)國(guó)際長(zhǎng)途、數(shù)據(jù)通信、IP電話、互聯(lián)網(wǎng)、無(wú)線尋呼及網(wǎng)絡(luò)元素出租等。公司擁有眾多的市、縣兩級(jí)下屬分支機(jī)構(gòu)，這些分支機(jī)構(gòu)遠(yuǎn)程用戶需要訪問(wèn)公司總部網(wǎng)絡(luò)。

　　用戶內(nèi)部網(wǎng)絡(luò)連續(xù)兩周出現(xiàn)間歇性癱瘓的癥狀，平均每天癱瘓4次左右，每次時(shí)間長(zhǎng)達(dá)幾個(gè)小時(shí)。癥狀較輕時(shí)，網(wǎng)絡(luò)尚可聯(lián)通，但網(wǎng)速異常慢，讓人無(wú)法忍受。癥狀較重時(shí)，則網(wǎng)絡(luò)徹底癱瘓，子網(wǎng)之間均不可達(dá)，且同一子網(wǎng)內(nèi)丟包率很高。

　　用戶內(nèi)部細(xì)分了40多個(gè)VLAN，上面僅節(jié)選了其中5個(gè)，簡(jiǎn)單統(tǒng)計(jì)就不難發(fā)現(xiàn)在10，12，16，18，20，22這幾個(gè)時(shí)間段流量出現(xiàn)異常，以上時(shí)間段間隔很有規(guī)律，流量統(tǒng)計(jì)在600M— 1G范圍以內(nèi)。

　　因?yàn)檫@次網(wǎng)絡(luò)癱瘓時(shí)間長(zhǎng)達(dá)兩周，嚴(yán)重影響到用戶業(yè)務(wù)網(wǎng)和辦公網(wǎng)的正常運(yùn)行，牽涉眾多部門。所以關(guān)注領(lǐng)導(dǎo)的層級(jí)越來(lái)越高。分公司從各部門抽調(diào)骨干人員組成了應(yīng)急事件響應(yīng)小組，且下達(dá)命令各部門須無(wú)條件配合，要求在3天之內(nèi)找出原因并徹底解決網(wǎng)絡(luò)故障。

　　網(wǎng)絡(luò)運(yùn)維部在前二周內(nèi)通過(guò)排查，基本上排除了如下原因：

　　1. 在上述時(shí)間段，并沒有海量業(yè)務(wù)數(shù)據(jù)需要傳送

　　2. 網(wǎng)絡(luò)會(huì)自動(dòng)恢復(fù)穩(wěn)定，內(nèi)部路由表無(wú)可疑之處，路由追蹤也沒有出現(xiàn)過(guò)循環(huán)，排除三層路由問(wèn)題

　　3. 癱瘓前后，網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)沒有變動(dòng)，不太可能是交換機(jī)循環(huán)。斷開部分交換機(jī)連接，強(qiáng)制Spanning Tree重新生成，網(wǎng)絡(luò)狀況依然沒有改善，排除二層交換機(jī)問(wèn)題

　　4. OA、計(jì)費(fèi)、代理服務(wù)器，防火墻，路由等設(shè)備工作正常，且CPU負(fù)載不高，排除硬件性能問(wèn)題

　　5. 升級(jí)并檢查網(wǎng)絡(luò)設(shè)備的IOS版本，防止針對(duì)CISCO漏洞的拒絕服務(wù)攻擊，網(wǎng)絡(luò)狀況依然沒有改善

　　6. 因全網(wǎng)面積癱瘓，排除某塊網(wǎng)卡或設(shè)備故障給網(wǎng)絡(luò)帶來(lái)的負(fù)面影響

　　7. 發(fā)現(xiàn)SQL蠕蟲，強(qiáng)制給所有的MS SQL2K打補(bǔ)丁，并卸載與業(yè)務(wù)無(wú)關(guān)的SQL數(shù)據(jù)庫(kù)，問(wèn)題還是未能解決

　　SYGATE 的解決方案

　　用戶嘗試了眾多廠商方案沒有達(dá)到預(yù)期的效果，最后通過(guò)有類似經(jīng)歷的用戶了解到Sygate。Sygate在最后三天開始介入。

　　所有主流交換機(jī)廠商都選擇Sygate來(lái)解決網(wǎng)絡(luò)端點(diǎn)引發(fā)的問(wèn)題，例如蠕蟲或者瘋狂下載引起的網(wǎng)絡(luò)流量到達(dá)600M時(shí)，就到達(dá)了一個(gè)警戒閥值。絕大多數(shù)千兆交換機(jī)在超過(guò)該臨界值后都會(huì)出現(xiàn)涌堵和癱瘓的情況。所以當(dāng)Sygate工程師看過(guò)流量采樣圖后，基本確認(rèn)是蠕蟲惹的禍。

　　該用戶在實(shí)施了SYGATE 安全策略保證系統(tǒng)之后，在很短時(shí)間內(nèi)控制了多種病毒疫在網(wǎng)內(nèi)的蔓延，并很經(jīng)濟(jì)地建立起一套雙保險(xiǎn)的補(bǔ)丁分發(fā)系統(tǒng)，和自動(dòng)加固系統(tǒng)。

　　用戶經(jīng)歷這次慘痛的教訓(xùn)，真正建立起一個(gè)應(yīng)急事件的快速響應(yīng)機(jī)制。從積極的意義上來(lái)講，用戶僅用了清除一次重大病毒疫的成本就換來(lái)了不間斷自防御網(wǎng)絡(luò)。第一天因?yàn)镾ygate客戶端有HIDS模塊，能識(shí)別并阻斷常見的網(wǎng)絡(luò)型病毒與蠕蟲。所以與用戶協(xié)商在流量異常的VLAN中分別部署2到3個(gè)Sygate客戶端，在整個(gè)分公司內(nèi)覆蓋50個(gè)點(diǎn)，形成一個(gè)分布式IDS的架構(gòu)。很快在中央管理服務(wù)器上，就接受到客戶端遞交的大量入侵檢測(cè)的事件日志。排名前幾位的有沖擊波，震蕩波，五毒蟲，NetSky，Mydoom等。

　　利用Sygate報(bào)表系統(tǒng)生成Top 20個(gè)攻擊源的報(bào)告，安排人手現(xiàn)場(chǎng)排查。排查結(jié)果令人震驚。例如在營(yíng)業(yè)終端網(wǎng)段，幾乎所有的機(jī)器都感染了五毒蟲。五毒蟲在每臺(tái)機(jī)器上至少?gòu)?fù)制了1000多個(gè)副本，即使利用專殺工具全盤殺毒至少也要30分鐘。