◆科来网络分析系统◆认识及设置篇

【网络医生】－◆科来网络分析系统◆认识及设置篇 网络医生】－◆科来网络分析系统◆ 】－◆科来网络分析系统◆ 应用实例 〓谁在 BT〓 ◆科来网络分析系统◆ 应用实例 〓初步故障分析〓 ◆科来网络分析系统◆ 应用实例 〓网络性能分析〓 ◆科来网络分析系统◆ 应用实例 〓查找网络速度慢的原因〓 ◆科来网络分析系统◆ 应用实例 〓如何分析 DDOS、BT 以及 ARP 的区别〓 ◆科来网络分析系统◆ 应用实例 〓如何下载任意文件〓
采用任何形式上网，都可能遇到：上网慢（不能浏览网页、 采用任何形式上网，都可能遇到：上网慢（不能浏览网页、卡、上不去网、信号差、信号延 上不去网、信号差、 连接失败、不稳定、丢包、误码率高、上不去、掉线、死机、无故中断。。。）等现象， 。。。）等现象 迟、连接失败、不稳定、丢包、误码率高、上不去、掉线、死机、无故中断。。。）等现象，局域 下载， 攻击，蠕虫病毒等，应该如何做网络性能分析？别急， 网中有人在 BT 下载，ARP 攻击，蠕虫病毒等，应该如何做网络性能分析？别急，以下将为大家介绍 一个网络分析软件： 一个网络分析软件：科来网络分析系统 （网络分析系统有多种，除了科来还有 OmniPeek、wireshark 等数种，从语言角度考虑还是中文的 科来比较好学） 科来网络分析系统是一个集数据包采集、解码、协议分析、统计、日志图表等多种功能为一体 的综合网络 分析系统。 它可以帮助网络管理员进行网络监测、定位网络故障、排查网络内部的安全隐患。 科来网络分 析系统能够进行全实时的采集-分析-统计处理，能够即时的反应网络通讯状况，不需要进行任 何后 期处理。 科来网络分析系统强大的数据包解码功能可以让最为狡猾的网络攻击、欺骗行为也无所遁形； 针对常用网 络协议设计的高级分析模块为用户提供更为实用的网络使用数据记录；网络通讯协议和 网络端点都可以提 供详尽的数据统计；独创的协议、端点浏览视图结构，可以帮助用户快速定位所 要数据； 丰富的图表功能 为用户提供直观的信息。 不管是本地局域网的诊断还是到大型网络的监测， 科来网络分析系统都是一款不可或缺的网络管理工具。 有了这样的工具，可以帮助企业网络完成以 下几类工作： 1) 网络流量分析 2) 网络通讯监视 3) 网络错误和故障诊断 4) 网络安全分析 5) 网络性能检测 6) 网络协议分析 网络分析工具的配备可以从本质上检测到网络中的问题，协调和支持各种网络管 理工具的使用，并最大化 的完善网络管理。 其中支持协议
1
科来网络分析系统可以进行内网以及内网与外网

的数据检测分析，甚至可以跨 VLAN 进行数据 监测。只安装在一台管理机器上即可，不用安装到局域网的每台机器。管理人员可以根据需要，来 决定网络的安装位置， 安装位置的不同，捕获到的网络数据也差异很大。为了更全面的监测网络数 据，建议最好将产品部署的设备直接连接到中心交换设备上，这样可以更多的数据信息；您也可利 用网络分接器，来分析任意网段 1. 共享网络 - 通过 Hub 连接上网 使用集线器 （Hub）作为网络中心交换设备的网络即为共享式网络，集线器 （Hub）以共享模 式工作在 OSI 层次的物理层。如果您局域网的中心交换设备是集线器 （Hub），可将科来网络分析 系统可安装在局域网中任意一台主机上，此时科来网络分析系统可以捕获整个网络中所有的数据通 讯。
2
交换式网络 端口镜像） 2. 交换式网络 交换机具备管理功能 （端口镜像） 使用交换机 （Switch）作为网络的中心交换设备的网络即为交换式网络。交换机 （Switch） 工作在 OSI 模型的数据链接层，交换机各端口之间能有效地分隔冲突域，由交换机连接的网络会将 整个网络分隔成很多小的网域。大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜 像功能， 当您网络中的交换机具备此功能时， 可在交换机上配置好端口镜像 （关于交换机镜像端口） ， 再将科来网络分析系统可安装在连接镜像端口的主机上即可，此时科来网络分析系统可以捕获整个 网络中所有的数据通讯。
端口镜像） 3. 交换式网络 交换机不具备管理功能 （端口镜像） 一般简易型的交换机不具备管理功能，不能通过端口镜像来实现网络的监控分析。如果您的中 心交换或网段的交换没有端口镜像功能，一般可采取串接集线器 （Hub）或分接器 （Tap）的方法 进行部署。如图所示： a) 使用网络分接器(Taps) 使用 Tap 时，成本较高，需要安装双网卡，并且在管理机器不能上网，如果要上网，需要再安 装另外的网卡。
3
使用集线器(Hub) Hub 成本低，但网络流量大时，性能不高，Tap 即使在网络流量高时，也对网络性能不会造成 任何影响
b)
4. 定点分析某个网段 在实际情况中，网络的拓朴结果往往非常复杂，在进行网络分析时，我们并不需要对所有的网 络进行分析，而只需要对异常的网段进行监测。对于这种情况，我们建议您将产品安装于移动电脑4
上，再附加一个网络分接器，就可以很方便的来检测任意链路上的网络情况。
Hub、 TAP、 的区别？ 5. 使用集线器 Hub、分接器 TAP、交换机 Switch 的区别？
注意: 不同的交换机或不同的型号，镜像配置方法的有些区别， 注意: 不同的交

换机或不同的型号，镜像配置方法的有些区别，我们在网站上为用户提供了常见交 换机的端口镜像配置方法。 换机的端口镜像配置方法。
开始使用选择网卡5
网络数据包是通过网卡进行转发的，对数据包的捕获需要利用网卡进行采集，在进行工程运行 之前，需要选择分析的网卡。 科来网络分析系统支持多网卡进行数据采集，同时也支持拨号的上网和本地环回。本地环回是 指客户 端和访问的服务器端都是本机，此时的网络数据并不经过网卡，科来网络分析系统同样支持 以类数据的监测分析。 在工程设置中，科来网络分析系统会自动列出所有可用到的网卡类型，用户可以根据实际情况 进行选择。
设置显示选项 科来网络分析系统的每一个视图都为用户提供了非常丰富的统计字段，为了适合查看，并没有 所有的字段都显示出来。用户可以通过列表选项来设置显示的数据，右键点击每个视图字段标题，
6
将可以打开显示选项。
软件界面
7
下面的表格是菜单命令以及相应说明： 菜单 下面的表格是菜单命令以及相应说明：
8
9
节点浏览器 节点浏览器最大的用途，就是能快速的选择需要查看的节点，通过选择节点，用户可以查看该 节点对应的网络数据。节点浏览器由三个类组成，分别是协议节点，物理节点，IP 节点。用户可以 很方便的定位到整个网络，也可以定位到某个 IP 段，或是某个 IP。而右边的数据会根据选择的节 点显示相关的数据。
10
工程状态栏 我们为每个工程都提供一个状态栏，用户可以查看当前工程的执行情况和配置状态。包括使用 的过滤器，捕获到的数据包，数据包缓存的占用情况等。缓存使用率的颜色条默认情况下是蓝色， 超过 80%，将变为橙色，超过 90%，则显示为红色。
11
主视图区 网络分析的主要数据结果，都放置在主视图区。科来网络分析系统 5.0 包含以下视图，每个视 图都包含不同的分析结果。 数据排序功能是一个对数据查看很有用的功能，用户对于想查看的数据排序，只需要单击一下 列表的字段，就可以进行正序或倒序的排列，如下图所示。查找带宽占用最大的 IP，或查找数据包 发送最多的 IP，利用数据排序将是非常容易的方法。
12
科来网络分析系统的每一个视图都为用户提供了非常丰富的统计字段，为了适合查看， 科来网络分析系统的每一个视图都为用户提供了非常丰富的统计字段，为了适合查看，并没有 所有的字段都显示出来。用户可以通过列表选项来设置显示的数据，右键点击每个视图字段标题， 所有的字段都显示出来。用户可以通过列表选项来设置显示的数据，右键点击

每个视图字段标题， 将可以打开显示选项。 将可以打开显示选项。
概要统计 科来网络分析系统的统计功能非常强大，近百个统计计数器为用户提供非常详尽的统计信息， 快照功能允许用户对特定时段的数据变化进行比较。概要统计不仅是全局的，每个网络协议和网络
13
端点都有自己的概要统计，用户可以开启多个窗口，比较不同协议或端点之间的概要统计。
14
15
端点 网络端点是网络通讯中的重要组成部分，是网络通讯的两端，科来网络分析系统将分为物理端 点和 IP 端点， 通过网络端点统计分析功能， 用户可以快速找定位通讯量最大的 IP 端点和物理端点。
16
系统还支持每个网络协议的端点流量明晰统计排名， 比如用户可以知道 HTTP 协议下前 5 个 IP 端点。
从上图可以清楚地得出当前网络中所有主机 （包括一个网段、一个物理 MAC 地址、一个 IP） 的具体流量占用情况，如总流量最大的主机、发送流量最大的主机、接收流量最大的主机、收发数 据包数最多的主机、发送数据包最多的主机、接收数据包最多的主机、内部流量、以及广播流量最 大的主机等信息。通过这些信息，我们可以确定网络中是否广播/组播风暴，并帮助用户排查网络速 度慢、网络时断时续、蠕 虫病毒攻击、DOS 攻击、以及用户无法上网等网络故障。 协议 遵循 OSI 七层协议分析，根据实际的网络协议封装顺序，层次化得展现给用户，每个协议有自 己的色彩，除了全局的协议统计，还可提供每个网络端点下的协议统计数据。
17
协议视图可以有效显示网络中数据通讯所使用的协议，协议采用树状层级方式显示，对每一种 协议，都对其占用的流量、使用此协议的数据包个数、此协议的流量在总流量中的百分比、以及使 用此协议的数据包在总数据包中的百分比进行了统计，如图所示。通过协议视图对各视图占用流量 及百分比的统计，用户可以得出当前网络中占用流量最多的协议，即当前网络中占用流量最多的服 务类型；并帮助用户排查网络速度慢、邮件蠕虫病毒攻击、网络时断时续以及用户无法上网等网络 故障。
版副 数据包 数据包解码由概要解码、字段解码、十六进制解码组成，概要解码是自动进行，用户也可以选 择概要解码的协议层，帮助用户快速定位可疑的网络数据包，用户还可以选择单个数据包进行详细 解码，详细解码字段可以和数据包原始数据互动，即便是精心伪造的网络攻击、欺骗数据包在这种 模式下也无所遁形，点击这里了解数据包解码详细信息。
18
通过解码信息，我们可以了解以下信息： 1. 数据包的概要信息 （作用、以及

提取的重要值）； 2. 网络中的数据包的类型； 3. 网络中传输的数据包是否正确； 4. 网络中 IP 数据包的版本； 5. 目标主机是否在运行客户端主机所请求的服务； 6. 源主机到目标主机间的路由时间 （即链路长度）； 7. 目标主机对客户端主机请求的服务的响应时间； 8. 网络中传输的数据是否为紧急数据； 9. 数据包在网络中经过的路由跳数； 10. 网络中是否存在环路现象； 11. 用户访问目标主机某服务的原始步骤。
概要解码19
概要解码逐行显示每一个捕获数据包的概要信息。概要信息主要包括：数据包被捕获的绝对时 间、源 IP 及使用端口、发送的目标 IP 及端口、使用的协议、数据包的大小、概要内容等。 对数据包进行查看，管理人员可以： 1. 设定显示选项，自定义要查看的数据列 2. 双击打开新窗口查看数据包解码的全部内容 3. 高亮显示选择的数据包 4. 对感兴趣的数据包添加注释 5. 选择相关联的数据包 6. 通过 Page UP 和 Page Down 来浏览前后数据包 7. 通过数据包生成过滤器 8. 导出数据包 9. 定位该数据包所在节点 10. 将 MAC 地址或 IP 地址添加到名字表 11. 使用滚屏功能始终显示最新的数据包
字段解码 字段解码也称为详细解码，可以看到数据包的详细信息。默认情况下，科来网络分析系统将在 字段解码框中逐层展开协议层的内容，并按照树型结构显示。要节省查看空间，请单击协议子层前 面的减号(-)。要再次展开协议显示，请单击加号(+)。点鼠标右键的 “复制树结构”，可以将协议 子层的数据复制到剪切板上。如果想了解字段的详细信息，可查看网站提供的常见协议详细解码资
20
料。
十六进制解码 十六进制解码是以十六进制和 ASCII(或 EBCDIC)格式显示所选数据包。当您选择 “概要解 码”中的数据包或在 “字段解码”选择了协议字段后，该数据包相应的十六进制字节(Hex 格式)将 在 “十六进制解码视图框”中高这显示，如图所示。这样您可以很快的了解协议字段与它在数据包 中相应字节的对应关系。
21
TCP 数据流重组 科来网络分析系统可以将捕获到的网络数据按照正确的顺序，重组成 TCP 片段。根据 TCP 数 据流，管理人可以完全掌握数据的通讯情况。利用 TCP 数据流中的会话信息，可以很容易跟踪每个 网络会话的整个过程，包括客户端与服务器端之间的请求与响应。
22
连接 连接视图显示当前网络活动状态，提供从整体到端点的网络连接情况分析，即时的 TCP 流重组 功能。
23
连接视图主要提供 TCP 连接，用来显示网络中 TCP 连接的信息，包括成功的、失败的、活动 的、停止的、正在建立的、已建立的、正在关闭的、已关

闭的。并在下方的子窗口中显示当前选定 连接的基本通信信息、TCP 数据流重组信息、原始数据包信息、对应的日志文件。对于每条连接， 都可统计其源地址、目标地址、当前状态、协议、该连接收发的数据包及这些数据包的大小等信息。 通过这些信息，我们可以确定出当前网络中 TCP 通讯的情况，如： 1. 查看两台主机之间的通讯内容； 2. 网络中是否存在 TCP 端口扫描攻击； 3. 网络中是否存在基于 TCP 协议的服务的账户用户名密码破解攻击； 4. 网络中是否存在邮件蠕虫病毒攻击； 5. 网络中是否存在长时间连接且流量小的 TCP 连接 （QQ/MSN 等程序使用 HTTP 代理即为此现 象）。下方的 TCP 数据流重组，可以方便地得出当前选定连接的原始操作信息，通过 TCP 连接的 原始信息，我们可以确定这些 TCP 通讯的内容、步骤，并断定此连接是否正常。其界面如图所示。
日志 日志视图记录网络中用户的高级网络运用，包括 HTTP 请求 （网页浏览），邮件信息 （通 过 SMTP/POP3 进行的邮件收发）以及 FTP 传输 （通过 FTP 进行的数据上传下载），并可根据用户 的需要将这些日志信息保存到硬盘以备查阅。其界面如图十所示，当前选定的是 HTTP 请求的日志视24
图。
图表 图表功能为用户提供 2D 或者 3D 的时间趋势图和数据比较图，可以选择折线图、柱状图、面积 图、饼图等多种形式，除了全局图表，也支持每个协议和网络端点的图表数据采集显示。
25
26
工程设置 工程设置是对网络分析进行条件设置的地方，用户可以根据分析目的进行有选择的采集数据。 工程设置主要包括以下几大类：
工程设置 工程设置－常规 这里主要是数据包缓存(Buffer)进行设置，数据包缓存在网络分析中可以起到高速缓冲存储数 据的作用。科来网络分析系统会将捕获到的数据包进行分析后，将数据保存在缓冲器中。只有当项 目保存时，才将 Buffer 的数据保存在硬盘上。 Buffer 的设置大小取决于所需要数据的多少和计算 机内存的大小。Buffer 的大小应该低于一半的可用物理内存，一般开始先使用 16M 的 Buffer，如 果需要时再增加。 例如： 一个 512M 的管理主机，运行操作系统和分析软件可能会占用 60M 内存，可用物理内存大 概为 450M，除去其它的一些应用程序所占内存，可用物理内存大概不到 400M，那么 Buffer 最大27
的使用内存应该小于 200M。因为 Buffer 是独占使用，所以，我们还是尽量少划分内存作为 Buffer， 一般 16M 可以满足大多数情况，流量大时，建议使用 64M 或 96M。 当缓存装满时，可选择以下处理方法： 1. 丢弃最老的数据包 (Ring Buffer) 当被捕捉的数据包数量达到您设定

的最大值时，本系统将会丢弃缓存中最早保存的数据包，然后 添加新的数据包。 2. 丢弃新捕获的数据包 当被捕捉的数据包数量达到您设定的最大值时，新捕获的数据包将在被分析模块分析后被丢弃而 不会被保存在缓存中。 3. 丢弃缓存内所有的数据包 当被捕捉的数据包数量达到您设定的最大值时，本系统将清空缓存然后再添加新的数据包。 4. 停止捕捉数据包 当被捕获的数据包数量达到您设定的最大值时，本系统将停止捕捉和分析数据包，您将不能看到 新捕获的数据。
工程设置－ 工程设置－网络适配器
28
选择网络适配器，主要是选择数据的采集方式。科来网络分析系统支持以太网、拨号上网、本 地环回方式的数据采集， 并且也支持多网卡采集， 用户可以选择一个网卡或多个网卡来捕获数据包。 科来网络分析系统也能自动识别网卡的传输速度，默认以网卡的速度为网络带宽，用户也可以根据 实际情况改变此值。如网卡虽然为 1000M，但内网的网线却是 100M，为了使统计更附合实际，可将 带宽改为 100M。
工程设置－ 工程设置－过滤器 通过数据包过滤器列表页面您可以自定义捕捉数据包的过滤器。如果没有设定过滤器，科来网 络分析系统将捕捉和分析所有数据包。过滤器在科来网络分析系统 5.0 中被分为简单过滤器和高级 过滤器。用户可以通过设置 IP、端口、协议、数据包值等条件来分离数据包。在过滤器列表中，可
29
以通过 “接受”、“排除”等逻辑关系来组合过滤设置。
工程设置－ 工程设置－网络配置 网络配置主要是自定义节点浏览器中 IP 节点和 MAC 节点。在 IP 节点和 MAC 节点按照网络数 据的类型，定义了不同的组，用户可以很方便的查看本地数据、远程数据以及广播数据、组播数据。 用户也可以根据需要添加、删除来规划自己的网络结构。例如，可以把不同网段分到不同 IP 组里， 也可以按照部门建立不同的 IP 组。 科来网络分析系统已经有一个默认的配置，点击自动检测，系统将对网络进行自动扫描，将 IP 节点
30
和 MAC 节点自己检测出来。
工程设置－ 工程设置－高级分析模块
31
在工程设置里，也可以对网络分析模块进行配置。高级分析模块主要提供邮件分析、FTP、HTTP 分 析。在配置中，可以启用是否保存邮件，是否使用过滤器，以及端口和保存路径等。
过滤器 设置过滤器是我们改变捕获数据范围的重要手段。通过过滤器，我们可以只捕获所需的特定数 据包，把重要的数据分离出来。这样，你就可以只关注存在网络故障或网络攻击的数据信息，而不 用在大量的数据中逐个寻找。 科来网络分析系统提

供了一个默认的过滤器列表。这些过滤器都是以按照协议为条件的过滤器，每 个过滤器都可以使用 “接收”和 “排除”来指定其过滤条件。也可以随意组合其中的过滤器来制 定数据包的捕获范围。如果用户感兴趣，可以设定查找病毒的过滤器，查找 BT 数据包的过滤器等。 按照直观性，我们把过滤器的设置又分为 “简单过滤器”和 “高级过滤器”。由于高级过滤的筛 选条件多于简单过滤，这样简单过滤器可以转换为高级过滤器，而高级过滤器转换为简单过滤器将 会丢失一些筛选条件。
32
1. 简单过滤 简单过滤可以让你使用常用的筛选条件，如 IP 地址、MAC 地址、端口、协议等。在设置 IP 地 址、MAC 地址、端口这些条件时，可以选择数据包传输的方向。这样可以很精确的进行筛选数据。 而设定协议条件时，可以选择一个或多个协议进行筛选。
33
简单过滤中的筛选条件可以任意组合，并且为了查看方便，可指定协议的颜色以区别其它协议。
地址过滤 ：选择地址进行过滤时，你可指定物理地址、IP 地址、IP 范围、IP 掩码来定义双方 的地址 端口过滤 ：端口过滤也提供多种方式，用户可选择单个端口，也可是一个端口范围，或是多个 端口。在选择端口值时，也可以通过名字表，选择 0~48556 的端口值，如下图所示：
34
协议过滤 ：协议过滤提供一个完整的协议树，用户可以选择一种或多种协议来定义过滤条件， 如下图所示：
35
36


本文来源：https://www.bwwdw.com/article/22ze.html