流量,查找是否有扫描行为,从而找出染毒或有黑客行为的计算机。目前由于交换机的大量采用,用嗅探器检测变得比较困难,根据到巢湖解决故障的经验,可以在交换机上设置镜像端口,将嗅探器镜像到此端口来检测关键端口的流量。另外对于较低档的交换机不具备端口镜像功能的,也可将一台HUB接在到关键端口的连线和交换机之间,然后将嗅探器接在此HUB上进行监测。为了防止蠕虫病毒蔓延和导致网络堵塞,可以在交换机上设置访问列表过滤特定端口的流量(如涉及到网上邻居和RPC调用的端口),以及ICMP包,但封ICMP会给网络诊断带来麻烦,封其它端口也会使用嗅探器查找病毒的方法失效,同时路由器上的封锁对仅对广域网传播有效,对同一网段的局域网内病毒传播无效,病毒一样会在局域网内大肆传播。建议一般情况下采取积极的策略,以嗅探器检测蠕虫病毒为主,一旦发现把IP地址公布在内部网网页上,限时清除,问题较大时再采用封锁策略。四.其它日常管理措施网络管理员的工作大部分时候是被动的处理故障,但是为了防患于未然,我们也需要些主动的措施,除了前面说述的病毒监测措施外,对于网络状况,我们也需要日常的巡视。对于网络状况的检查,我们一般以ping为主要手段,检查丢包率和时延,最好能用大包测试对比,必要时为了监测可以对若干关键点长时间一直ping,最后看统计数据(注意要先开命令行窗口再ping,否则看不到统计值),网上有些软件可以ping等方式长期检测若干关键点,一有问题以图形方式直观显示,大家有兴趣也可试用,当然也可以用网管软件检测网络状态;对于路由器,如果有报告网络堵塞发生,需注意路由器的cpu和内存占用率,经常登录进去查看,如果cpu的占用率超过10%负荷就比较大了,对于路由器的端口,对怀疑链路带宽不足的,要经常查看端口状态,可以看端口占用率,以及丢包等传输质量数据,再和同时期ping的数据比对,就可对线路是否需升级提出有效的建议。