案例3：如何用Sniffer解决过多重发和无响应工作站问题

　　CyberCop Scanner  攻击特征编号8033 Windows NT – 我们针对特定主机进行了分段拒绝服务攻击。在拒绝服务攻击期间，Sniffer内置的专家警报发现了这种情况。“过多重发和无响应工作站”
　　的Sniffer专家警报被触发。在下一页的图中，Sniffer Expert对连接层的诊断记录了998个警报事件。其中一个是“过多重发”，其余都是无响应工作站。可能原因：当特定连接上的重发次数超过一定阈值时，就会发出“过多重发”的Sniffer专家警报。当发送工作站没收到接收工作站发回的确认时，就会出现这种情况，即反复重新发送该帧。引发这种警报的原因很多，例如，服务器或路由器过载，或者网络通讯量过大。此外，当确认丢失时也会出现这种情况。

　　当同一连接上无响应的连续重发的次数超出一定阈值时，就会发出“无响应工作站”的Sniffer专家警报。引发这种警报的原因很多，包括服务器过载、硬件发生故障或者软件配置错误。

　　但是，这情况也很有可能是因为拒绝服务攻击引起的。发动这样的攻击，主要是因为攻击者试图通过向目标服务器发送大量服务请求，使该服务器无法响应正常请求，从而阻止合法用户使用服务器或各种服务。