因为这两个单位的两起网络攻击事件有着密切联系，故一并分析。

　　某ISP：事故发现及描述

　　在2001年3月30日，安络工程师陈与ISP进行技术接触，当时，听取其负责人王工程师口述，在此之前已有不少异常情况，类似攻击行为。

　　在后面的几天里，安络工程师为该ISP装了一个网警测试版，在4月5日，发现内部机器202.xxx.xxx.219、202.xxx.xxx.237对外产生大量扫描行为，怀疑该机早已被入侵，并报告王工程师。

　　 在4月10日，发现ICMP包比例达到25%以上，确认发生ICMP类D.O.S.攻击，进一步观察攻击源来自内部托管的用户主机202.xxx.xxx.208、202.xxx.xxx.250、202.xxx.xxx.251三台机器，已报告王工程师。

　　某数据分局：事故发现及描述

　　在4月6日，深圳安络接到某电信要求对所辖某数据分局遭受攻击查因并解决问题的请求。当日安络工程师王到现场，初步了解为D.O.S.攻击。

　　在4月9日，安络工程师陈到现场了解了整体网络结构，提出安装网警的方案。

　　在4月11日，安络工程师王、冯、陈到现场。在该单位工程师配合下，了解到攻击为ICMP的D.O.S.攻击。分析其捕捉到的数据包。发现为PING程序的洪水攻击。进一步分析数据包，发现攻击来自不同的IP。其中两个IP来自4月10日发现的上述某ISP三台攻击源其中的两台202.xxx.xxx.250、202.xxx.xxx.251。初步认为某ISP和某数据分局的两起网络入侵事件有着密切联系。（详细见图）

　　图表说明：此图数据为4月10号下午某数据分局的8010服务器（61.xxx.xxx.34）受攻击时的网络连接图，其中有来自外部IP 202.xxx.xxx.251的连接。