该用户是基础电信运营商省级分支机构，经营的电信业务种类包括：移动通信（GSM和 CDMA）、本地电话、国内国际长途、数据通信、IP电话、互联网、无线寻呼及网络元素出租等。公司拥有众多的市、县两级下属分支机构，这些分支机构远程用户需要访问公司总部网络。

　　用户内部网络连续两周出现间歇性瘫痪的症状，平均每天瘫痪4次左右，每次时间长达几个小时。症状较轻时，网络尚可联通，但网速异常慢，让人无法忍受。症状较重时，则网络彻底瘫痪，子网之间均不可达，且同一子网内丢包率很高。

　　用户内部细分了40多个VLAN，上面仅节选了其中5个，简单统计就不难发现在10，12，16，18，20，22这几个时间段流量出现异常，以上时间段间隔很有规律，流量统计在600M— 1G范围以内。

　　因为这次网络瘫痪时间长达两周，严重影响到用户业务网和办公网的正常运行，牵涉众多部门。所以关注领导的层级越来越高。分公司从各部门抽调骨干人员组成了应急事件响应小组，且下达命令各部门须无条件配合，要求在3天之内找出原因并彻底解决网络故障。

　　网络运维部在前二周内通过排查，基本上排除了如下原因：

　　1. 在上述时间段，并没有海量业务数据需要传送

　　2. 网络会自动恢复稳定，内部路由表无可疑之处，路由追踪也没有出现过循环，排除三层路由问题

　　3. 瘫痪前后，网络拓扑结构没有变动，不太可能是交换机循环。断开部分交换机连接，强制Spanning Tree重新生成，网络状况依然没有改善，排除二层交换机问题

　　4. OA、计费、代理服务器，防火墙，路由等设备工作正常，且CPU负载不高，排除硬件性能问题

　　5. 升级并检查网络设备的IOS版本，防止针对CISCO漏洞的拒绝服务攻击，网络状况依然没有改善

　　6. 因全网面积瘫痪，排除某块网卡或设备故障给网络带来的负面影响

　　7. 发现SQL蠕虫，强制给所有的MS SQL2K打补丁，并卸载与业务无关的SQL数据库，问题还是未能解决

　　SYGATE 的解决方案

　　用户尝试了众多厂商方案没有达到预期的效果，最后通过有类似经历的用户了解到Sygate。Sygate在最后三天开始介入。

　　所有主流交换机厂商都选择Sygate来解决网络端点引发的问题，例如蠕虫或者疯狂下载引起的网络流量到达600M时，就到达了一个警戒阀值。绝大多数千兆交换机在超过该临界值后都会出现涌堵和瘫痪的情况。所以当Sygate工程师看过流量采样图后，基本确认是蠕虫惹的祸。

　　该用户在实施了SYGATE 安全策略保证系统之后，在很短时间内控制了多种病毒疫在网内的蔓延，并很经济地建立起一套双保险的补丁分发系统，和自动加固系统。

　　用户经历这次惨痛的教训，真正建立起一个应急事件的快速响应机制。从积极的意义上来讲，用户仅用了清除一次重大病毒疫的成本就换来了不间断自防御网络。第一天因为Sygate客户端有HIDS模块，能识别并阻断常见的网络型病毒与蠕虫。所以与用户协商在流量异常的VLAN中分别部署2到3个Sygate客户端，在整个分公司内覆盖50个点，形成一个分布式IDS的架构。很快在中央管理服务器上，就接受到客户端递交的大量入侵检测的事件日志。排名前几位的有冲击波，震荡波，五毒虫，NetSky，Mydoom等。

　　利用Sygate报表系统生成Top 20个攻击源的报告，安排人手现场排查。排查结果令人震惊。例如在营业终端网段，几乎所有的机器都感染了五毒虫。五毒虫在每台机器上至少复制了1000多个副本，即使利用专杀工具全盘杀毒至少也要30分钟。