由于地域限制的原因，我城域网分布在两个地区，由A网络和B网络构成，通过Router1 和Router2的广域网接口互连，并通过两个ISP出Internet，而且在一端Internet或防火墙有问题时，可以互转至另一端出 Internet，所有核心设备的路由采用的是OSPF。

　　本网络的安全系统部署了防御外部攻击的防火墙和一套不完善的防病毒系统，没有安装IDS和相应网络管理及监控软件。

　　上网出现异常

　　某日21：00，用户故障台申报A网络不能上外部Internet，但是A网络访问B网络提供的Web服务及其他应用服务正常，同时B网络一切正常。

　　我们远程进入系统检测发现防火墙出了问题，按照常规重启防火墙，结果还是不行;再通过系统设置将我们A网络的外网出口转至B网络出口，发现B网络上网突然变慢，而且有中断的情况。开始我们认为那是流量较大的原因导致PIX2处理不及，但是后来PIX2瘫痪，A、B网络都不能上Internet，这和我们平时互转Internet不一样，我们分析A网络有问题，结果我们一撤消互转，PIX2即恢复正常。

　　日志中找到蛛丝马迹

　　1.故障信息的获得

　　1）进入核心Router1

　　Recent 1 sec： average 15%, peak 23%

　　Recent 5 secs： average 14%, peak 29%

　　系统正常。

　　2）进入核心Switch1

　　系统资源占有率为11%，而且ARP和IPReceive占用CPU分别为0.09%和2%，一切和平时基本一样，没有异常现象。

　　3）近端进入PIX1防火墙的审计系统观察到如下大量的信息，如表1所示。

　　表1

　　序号 内核 事件类型 事件来源 事件内容 用户 时间

　　1 √ Error 内核事件 从119.206.107.154（351）到 SYSTEM 21：03

　　69.56.141.67（80）的TCP包

　　未找到相应的连接

　　2 √ Error 内核事件 从117.75.118.170（551）到 SYSTEM 21：03

　　69.56.141.67（80）的TCP包

　　未找到相应的连接

　　3 √ Error 内核事件 从118.149.67.172（39）到 SYSTEM 21：03

　　69.56.141.67（80）的TCP包

　　未找到相应的连接

　　进入防火墙安全控制台，调出生成的NAT记录全部如下：

　　nat.c[2839] 164.30.123.28（715） -> 69.56.141.67（80） TCP not NAT

　　nat.c[2839] 65.135.150.204（379） -> 69.56.141.67（80） TCP not NAT

　　nat.c[2839] 62.161.122.93（259） -> 69.56.141.67（80） TCP not NAT

　　……

　　该类记录一直出现 ，同时显示防火墙资源耗尽。