实战案例：近期，客户单位无线网无规律卡顿，最后查出来竟然有人在跑......

背景介绍

最近，一家做外贸的中小公司遇到了件烦心事。他们的无线网络平稳运行了两年多，一直相安无事，可就在近期，无线网络突然大面积“罢工”。员工们普遍反映，刷视频卡顿、网页加载转圈，甚至直接打不开，严重影响了日常办公。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

整网拓扑

先来看看这家公司的网络架构。他们采用的是典型的AC（无线控制器）+面板AP的组网方式，设备都来自某P品牌。整网通过一条千兆宽带接入，完成了覆盖部署。

分析思路

根据网管系统的统计，故障现象很有特点：每次异常持续时间很短，大概就两三分钟，但发生时间完全不固定，白天晚上都可能出现。这种“神出鬼没”的故障，往往最难抓现行。那么，面对这种情况，该如何着手排查呢？通常可以遵循以下三步走策略：

首先，在故障发生的时刻，立即检查异常终端的网络参数是否正确，并通过Ping测试验证内网和外网的连通性，同时进行测速，确认实际吞吐量是否达标。

如果第一步没找到明显问题，接下来可以尝试修改一些可能影响上网体验的参数，比如关闭IPv6功能、更换DNS服务器，然后观察情况是否改善。

倘若前两步都未能锁定问题，那就需要祭出“终极武器”了：通过Wireshark等工具进行长期抓包，对网络流量进行深度监控和分析。

排查分析

(1) 第一步：异常时间点，检查异常终端网络参数、连通性和吞吐量

经过一两天的观察，并请网管同事协助记录，在故障发生时，提取了上网异常终端的网络参数。

从参数看，IP地址、网关、DNS都获取正常，这基本可以排除私接非法DHCP服务器这类导致地址混乱的问题。参数没问题，那就继续做连通性诊断。我们分别Ping了几个关键节点：

• 路由器LAN口IP：检测无线终端到内网网关的质量。
• 路由器WAN口IP：检验路由器的NAT地址转换功能是否正常。
• 路由器上游网关（光猫）：检查光猫设备的工作状态。
• 公网地址（如百度）：验证运营商的外网链路是否通畅。

一轮测试下来，所有节点都没有出现明显的丢包或延时抖动。

当然，Ping通不代表网络就完全健康。这就好比道路畅通，但可能车道很窄，车流一大就堵。所以，还需要测速来确认实际带宽是否符合运营商提供的标准。

可以看到，即使用手机无线测速，也能跑到900Mbps以上，带宽是足够的。这就奇怪了：网络参数正常、内外网连通性正常、外网带宽也达标，那卡顿的根源到底在哪？

这时候，我们需要把目光转向影响上网体验的其他常见因素。通常有两个方向值得怀疑：

• IPv6：目前IPv6的建设和稳定性还在完善中，链路震荡或DNS解析错误都可能导致访问异常。
• DNS：本地运营商提供的DNS服务器有时可能存在劫持或响应慢的问题，导致域名无法正确解析。

接下来，我们就顺着这两个方向继续深挖。

(2) 第二步：修改可能影响上网的参数进行观察

首先，在主路由器上关闭了IPv6功能，确保所有流量都走IPv4通道，排除IPv6可能带来的干扰。

接着，修改DHCP服务器下发的DNS地址，将其从运营商默认的DNS，更换为公共DNS 114.114.114.114。

然而，参数调整后的几天里，网络卡顿现象依然断断续续地出现。看来，问题也不出在这里。常规手段用尽，只能进行更底层的流量监控了。

(3) 第三步：抓包确认NTP报文交互

于是，我们在路由器LAN口部署了流量监控。

等待问题再次复现后，很快就在抓包数据中锁定了异常时间点。发现内网一台IP为192.168.0.114的设备，正在持续不断地向外部地址58.22.100.216发起大量的TCP新建连接。

从流量图可以清晰看到，该设备使用持续递增的源端口，向目标地址发送SYN请求。根据路由器后台的统计，其建立的连接数瞬间达到了2500以上。

问题水落石出了。这家公司使用的是家庭规格的宽带，其并发连接数通常限制在4000以内。这台设备瞬间占用2500多个连接，几乎榨干了整条宽带的连接数资源，导致其他终端无法正常新建连接，网络卡顿也就不可避免了。

根据IP和MAC地址溯源，最终定位到罪魁祸首是一台办公室的台式电脑。

经过与公司网管进一步核实，结果让人有些哭笑不得。原来，这台电脑上自动运行着一个“网络测试”软件，它会不定时地自动进行吞吐量测试和连接数测试。正是这些突如其来的测试流量，在特定时刻冲垮了网络的正常连接，引发了全网的间歇性卡顿。关闭该软件后，网络立即恢复了正常。

原理及解决方案

问题原因：公司内一台台式电脑上自动运行的“网络测试”软件，不定期进行流量和连接数测试，耗尽了宽带连接的并发数资源，导致整网出现卡顿。

解决方案：

1. 立即处置：关闭该问题电脑上的测试软件，并告知公司网管需加强对终端软件安装和行为的监控，避免类似“内鬼”软件再次出现。

2. 预防措施：在路由器或网络管理设备上，为终端设置独立的流量和连接数限制策略。这是一种以预防为主的方法，即使某个终端出现异常行为，也能将其影响限制在局部，避免波及整个网络。