发现流量异常后我该怎么办？

　　发现流量异常的情况有两种可能，

　　一种是您在存在流量异常的当时就发觉有流量异常情况：这时您可以使用网络监听软件进行抓包，并分析你抓下来的流量异常的数据包，看是何种协议，是针对什么服务的，源地址是什么，目的地址是什么，然后检查该目标机器，从而确定流量异常的原因（若有疑问，我们可以提供详尽的技术支持）

　　如果是配置错误的话，请检查流量异常的机器，关停该机器上不必要的服务，关闭所有不必要的端口。

　　如果是感染病毒，请使用正版杀毒软件对系统进行杀毒，并查明病毒传播的原因，升级系统补丁。

　　如果是DOS攻击，请使用网络监听软件对流量异常的ip进行监听，确定异常数据包的来源，并向我们通报，我们在经过确认之后，您可以向赛尔公司提出申请在国际出口上对该ip进行屏蔽。

　　如果是黑客入侵，请尽快向我们通报，我们会及时确定攻击方对其进行相应的处理，并协助您升级您的系统。

　　另一种情况是流量异常结束后才发现流量异常：这个时候你可以到赛尔公司客服中心下载您当月的流量详单，然后分析异常流量是由什么协议产生，
是哪一个ip产生，并对该ip的机器进行检查，查明原因（如果有疑问可以向我们的工作人员要求帮助），并照上面的方法解决以避免进一步的损失。

　　为什么我的系统清除了所有的病毒并升级了系统，仍然有很大的流量？

　　有些病毒在感染系统后，会在系统中安装后门服务，并与其他被感染的主机通讯。虽然你已经清除了你机器上的病毒，但是你机器上的后门程序可能仍在工作，它们会将你机器的信息发送出去，或者有黑客仍利用了这个后门来控制你的机器进行攻击。

　　为什么我的邮件服务器最近负荷过大，且出国流量巨大

　　这可能有两种可能，
　　第一：您的open relay是开放的，很多垃圾邮件用您的邮件服务器进行中转发送造成了大量的国际流量

　　第二：这可能和最近的邮件病毒泛滥有关，您可以在您的邮件服务器上增加CCERT开发的防止邮件病毒的插件，这样子能减少您校园网中的感染。

　　详情请参看：CCERT 网站关于邮件病毒的查杀方法以及CCERT病毒邮件过滤系统产品白皮书。