進一步在中心機房嘗試tracert172.17.46.14這個IP地址跟蹤路由，發(fā)現(xiàn)路由在中心機房交換機和地市交換機之間形成環(huán)路，數(shù)據(jù)包在環(huán)路不斷往返，直到TTL值過期才被丟棄。

　　通過查看中心機房交換機路由表，發(fā)現(xiàn)配置了靜態(tài)路由，將172.17.44.0/22這段地址指向了地市分公司交換機，而在分公司交換機配置的私網地址池里面只配置了172.17.44.0/23，并沒有包括172.17.46.0這段地址，所以在里面找不到對應的路由，故將流量通過默認路由又傳回至中心機房，從而形成環(huán)路。檢查針對其他網段的異常流量時同樣出現(xiàn)這種情況。所以，當感染蠕蟲病毒的機器與大量實際并不存在的地址建立139連接時，借助靜態(tài)路由設置不當?shù)穆┒矗@些數(shù)據(jù)包在網絡中循環(huán)傳送，消耗了大量網絡帶寬，降低了網絡的運行效率。所以針對以上流量分析，我們可以得出以下結論：

    ⑴目前網絡中存在大量中毒機器，并且正在試圖通過局域網感染其他主機，最好能及時通知客戶做殺毒處理，消除網絡隱患。
    ⑵出于安全方面的考慮，建議拒絕基于139端口的流量。
    ⑶中心機房交換機上需要更改靜態(tài)路由，取消路由環(huán)路。

　　上面的文章只是一個拋磚引玉，其實Sniffer還有很多強大的功能，希望大家能在平時多多使用，互相交流經驗，進一步提高我們的日常維護工作效率。