一般来说最好的办法是找一台没有感染病毒的计算机连接到企业核心路由交换设备的镜像端口来抓取数据包。如果没有镜像端口直接连接到网络中抓取也可以，只是所抓数据会不全，分析问题的周期比较长。

　　第一步：我们按照实际需要将用来分析故障的笔记本连接到交换机的镜像端口上。运行sniffer，在sniffer软件中打开dashboard面板，这个面板主要是扫描当前网络中数据包的宏观信息，即什么样的数据包有多少个。一般来说病毒都是以广播数据包来传播的，所以只需要查看每秒网络内的广播数据包数量就可以判断病毒危害的严重与否。在dashboard面板中我们可以看到broadcasts/s处显示的信息为26个，也就是说对当前网络抓取结果是一秒钟有26个广播数据包。和平常比要多一些。（如图2）

　　第二步：接下来我们在sniffer软件中切换到hosttable主机列表中，具体查看到底哪个计算机发送的广播数据包最多。一般来说如果网络内有蠕虫病毒，那么这台主机的广播量要远远大于其他主机。例如本例中就会看到有一台计算机的广播数据包为14344个，是其他正常计算机发送包的1000倍还多。这样就可以判断该计算机有问题。（如图3）

　　第三步：我们在sniffer软件中切换到协议分析标签（protocol distribution，从图中可以看到网络内ARP数据包占用的比例比较大，达到了12%以上，这也是不正常的。一般来说一个正常的网络应该99%以上数据包都是IP数据包，ARP数据包小于1%。（如图4）