軟件使用-科來網(wǎng)絡(luò)分析系統(tǒng)50使用介紹

1、科來網(wǎng)絡(luò)分析系統(tǒng)5.0 使用介紹軟件使用 科來網(wǎng)絡(luò)分析系統(tǒng) 5.0 使用介紹一、系統(tǒng)安裝1. 系統(tǒng)需求1)最小需求P3 500 CPU256 MB內(nèi)存10M/100M自適應網(wǎng)卡Windows 2000(SP4或 SP4 更高 ) ，Windows XP(SP1或 SP1 以上 ) ，Windows 2003Internet Explorer 5.5或更高版本2)推薦需求P4 2.0G CPU512 MB 或 512 MB以上內(nèi)存Inter 或 3COM 網(wǎng)卡Windows 2000(SP4或 SP4 以上 ) ，Windows XP(SP1或 SP1 以上 ) ，Windows 2003Int

2、ernet Explorer 5.5或更高版本2.安裝環(huán)境1)共享式網(wǎng)絡(luò)使用集線器（ Hub ）作為網(wǎng)絡(luò)中心交換設(shè)備的網(wǎng)絡(luò)即為共享式網(wǎng)絡(luò)，集線器（Hub ）以共享模式工作在 OSI 層次的物理層。如果您局域網(wǎng)的中心交換設(shè)備是集線器（Hub ），可將科來網(wǎng)絡(luò)分析系統(tǒng)可安裝在局域網(wǎng)中任意一臺主機上，此時科來網(wǎng)絡(luò)分析系統(tǒng)可以捕獲整個網(wǎng)絡(luò)中所有的數(shù)據(jù)通訊。2)交換式網(wǎng)絡(luò)使用交換機 （ Switch）作為網(wǎng)絡(luò)的中心交換設(shè)備的網(wǎng)絡(luò)即為交換式網(wǎng)絡(luò)。交換機（ Switch）工作在 OSI 模型的數(shù)據(jù)鏈接層，交換機各端口之間能有效地分隔沖突域，由交換機連接的成都科來軟件有限公司電話：

3、mail ： sales傳真：upport1/18科來網(wǎng)絡(luò)分析系統(tǒng)5.0 使用介紹網(wǎng)絡(luò)會將整個網(wǎng)絡(luò)分隔成很多小的網(wǎng)域。如果您局域網(wǎng)的中心交換設(shè)備是交換機連接（Switch），科來網(wǎng)絡(luò)分析系統(tǒng)的安裝有以下兩種情況：交換機具備鏡像端口功能當前網(wǎng)絡(luò)中大多數(shù)三層或三層以上交換機以及一部分二層交換機都具備端口鏡像功能，當您網(wǎng)絡(luò)中的交換機此具備功能時，可在交換機上配置好端口鏡像（關(guān)于交換機鏡像端口），再將科來網(wǎng)絡(luò)分析系統(tǒng)可安裝在連接鏡像端口的主機上即可，此時科來網(wǎng)絡(luò)分析系統(tǒng)可以捕獲整個網(wǎng)絡(luò)中所有的數(shù)據(jù)通訊。交換機不具備鏡像端口功能當您網(wǎng)絡(luò)中的交換機不具備端口鏡像功能時，可通過以

4、下兩種方式實現(xiàn)對網(wǎng)絡(luò)數(shù)據(jù)的捕獲。串接一個分路器（Tap ）在中大型網(wǎng)絡(luò)中，可在交換機與網(wǎng)絡(luò)出口設(shè)備（路由器或防火墻）之間串接一個單端口分路器， 并將科來網(wǎng)絡(luò)分析系統(tǒng)安裝在連接此分路器端口的主機上， 此時科來網(wǎng)絡(luò)分析系統(tǒng)可以捕獲整個網(wǎng)絡(luò)中的所有進出數(shù)據(jù)通訊。串接一個集線器（Hub）在小型網(wǎng)絡(luò)中，可在交換機與網(wǎng)絡(luò)出口設(shè)備（路由器或防火墻）之間串接一個集線器（ Hub ），并將科來網(wǎng)絡(luò)分析系統(tǒng)安裝在連接此集線器任意端口的主機上， 此時科來網(wǎng)絡(luò)分析系統(tǒng)可以捕獲整個網(wǎng)絡(luò)中的所有進出數(shù)據(jù)通訊。3) 檢測一個網(wǎng)段在某些情況下您只需要對網(wǎng)絡(luò)中某一個網(wǎng)段（如某一個部門） 的數(shù)據(jù)通訊進行捕獲。如果連接此網(wǎng)段的交換

5、機具備端口鏡像功能，那么可將科來網(wǎng)絡(luò)分析系統(tǒng)安裝在連接此交換機鏡像端口的主機上，此時科來網(wǎng)絡(luò)分析系統(tǒng)可以捕獲此網(wǎng)段主機的所有數(shù)據(jù)通訊；如果連接此網(wǎng)段的交換機不具備鏡像端口功能，那么可在此交換機與它的上層設(shè)備之間串接一個集線器或分路器或具備端口鏡像的交換機，并將科來網(wǎng)絡(luò)分析系統(tǒng)安裝在連接此設(shè)備的主機上，此時科來網(wǎng)絡(luò)分析系統(tǒng)可以捕獲此網(wǎng)段主機的所有進出數(shù)據(jù)通訊。注意 : 大多數(shù)交換機端口鏡像的設(shè)置方法都存在差異，如果您在設(shè)置時遇到困難，可參見交換機隨機配套的方盤或說明書，或者訪問<獲取鏡像端口的配置信息，更詳細的安裝環(huán)境請參見科來網(wǎng)絡(luò)分析系統(tǒng)5.0程序自帶的幫助文件。成都科來軟件有限公司電話

6、：mail ： sales傳真：upport2/18科來網(wǎng)絡(luò)分析系統(tǒng)5.0 使用介紹二、科來網(wǎng)絡(luò)分析系統(tǒng)5.0主要功能介紹1. 界面預覽安裝好后， 雙擊桌面上科來網(wǎng)絡(luò)分析系統(tǒng)的快捷方式，打開系統(tǒng)主界面，輸入產(chǎn)品序列號和安裝號（可以先不用激活，不過在未激活只能使用15 次），然后單擊主界面工具欄上的“開始”按鈕，科來網(wǎng)絡(luò)分析系統(tǒng)開始捕獲當前網(wǎng)絡(luò)中的數(shù)據(jù)通信，并自動將當前工程文件命令為“工程一 ”，如圖 1 所示。（注：在科來網(wǎng)絡(luò)分析系統(tǒng)5.0中，工程是指對捕獲任務進行設(shè)置和過濾的計劃安排，同時也是捕獲數(shù)據(jù)的顯示區(qū)域和容器，并且可將此區(qū)域或容

7、器中的數(shù)據(jù)保存到磁盤。）（圖 1科來網(wǎng)絡(luò)分析系統(tǒng)5.0 主界面）從圖 1 中可知，科來網(wǎng)絡(luò)分析系統(tǒng)5.0主界面布局從上到下為標題欄、菜單欄、工具欄、主視圖區(qū)和狀態(tài)欄； 主視圖區(qū)位于界面的中間部分， 它主要由三個部分組成， 左上部的節(jié)點瀏覽器、左下部的工程狀態(tài)欄、右邊的視圖內(nèi)容顯示區(qū)，下面分別對其進行介紹。成都科來軟件有限公司電話：mail ： sales傳真：upport3/18科來網(wǎng)絡(luò)分析系統(tǒng)5.0 使用介紹2. 節(jié)點瀏覽器節(jié)點瀏覽器最大的作用， 是能快速定位需要查看的節(jié)點， 通過節(jié)點的定位， 用戶可以快速準確地查看該節(jié)點對應的網(wǎng)絡(luò)數(shù)據(jù)

8、通訊。節(jié)點瀏覽器中的節(jié)點類型有三種，協(xié)議、物理端點、 IP 端點，詳細介紹如下。協(xié)議 ：以樹狀層級方式顯示出當前網(wǎng)絡(luò)中的通訊所使用的協(xié)議，當網(wǎng)絡(luò)中出現(xiàn)使用某協(xié)議進行通訊的數(shù)據(jù)包時，系統(tǒng)自動將此協(xié)議添加到協(xié)議節(jié)點的相應位置。選中某協(xié)議時， 主視圖顯示區(qū)中各視圖均只顯示使用該協(xié)議進行通訊的信息。如當用戶希望查看訪問互聯(lián)網(wǎng)（默認情況下使用標準的HTTP 協(xié)議）的信息時，可通過如圖2 的方式對協(xié)議進行定位，此時，主視圖區(qū)的所有視圖均只顯示網(wǎng)絡(luò)中使用HTTP協(xié)議通訊的信息。另外，使用協(xié)議節(jié)點，還可以有效得出網(wǎng)絡(luò)中正在使用的服務，從而確定網(wǎng)絡(luò)中是否存在非常用協(xié)議的異常數(shù)據(jù)通訊，如非法ARP 攻擊。（圖2節(jié)

9、點瀏覽器的協(xié)議節(jié)點中定位HTTP協(xié)議）IP端點：以樹狀方式顯示當前網(wǎng)絡(luò)中的通訊所涉及到的IP 地址， IP 端點以邏輯IP 地址為顯示的依據(jù)， 它的下級分類里常用的有本地子網(wǎng)、私有網(wǎng)絡(luò)、廣播地址、 組播地址、 Internet地址等， 系統(tǒng)捕獲到某個IP 地址時會自動將其加入到相應的分類中。通過 IP 端點，用戶可以方便地定位一個網(wǎng)絡(luò)，一個網(wǎng)段，或一個IP 主機，定位某個節(jié)點時，主視圖顯示區(qū)中各視圖均只顯示與該節(jié)點有關(guān)的數(shù)據(jù)通訊信息。圖3 中，將節(jié)點定位在了IP 端點下本地子網(wǎng)成都科來軟件有限公司電話：mail ： sales傳真：upp

10、ort4/18科來網(wǎng)絡(luò)分析系統(tǒng)5.0 使用介紹的 /24網(wǎng)段上，此時主視圖區(qū)的所有視圖均只顯示與/24主機相關(guān)的數(shù)據(jù)通訊信息。另外，使用IP 端點節(jié)點，可以有效確定任何網(wǎng)段內(nèi)部主機間的流量；可以有效得出當前網(wǎng)絡(luò)中活動的IP 主機，并確定這些活動主機是否正常，即是否為網(wǎng)絡(luò)中不存在的IP 主機（偽造IP ），從而確定網(wǎng)絡(luò)中是否存在偽造IP 地址的攻擊。網(wǎng)段（圖 3節(jié)點瀏覽器的IP 端點中定位/24網(wǎng)段）（圖 4 節(jié)點瀏覽器的物理端點中定位D-LINK:47:E8:DF主機）物理端點 ：以樹狀方式顯示當前網(wǎng)絡(luò)中的通訊所涉及到的MAC

11、地址和 IP 地址，物理端點以網(wǎng)絡(luò)的物理拓撲結(jié)構(gòu)為顯示的依據(jù)，它的下級分類里默認有本地網(wǎng)段、網(wǎng)關(guān)、廣播地址、組播地址，系統(tǒng)捕獲到某個MAC 地址或 IP 地址時會自動將其加入到相應的分類中。通過物理端點，用戶可以方便地定位一個網(wǎng)絡(luò)，一個MAC 地址（即一塊網(wǎng)卡）或一個IP 主機，定位某個節(jié)點時，主視圖顯示區(qū)中各視圖均只顯示與該節(jié)點有關(guān)的數(shù)據(jù)通訊信息。圖4 中，節(jié)點被定位在物理端點下本地網(wǎng)段中MAC 地址為 D-LINK:47:E8:DF的主機，此時主視圖顯示區(qū)的所有視圖均只顯示與D-LINK:47:E8:DF主機有關(guān)的數(shù)據(jù)通訊信息。另外，使用物理端點節(jié)點，可以有效確定任何網(wǎng)段內(nèi)部主機間的流量；

12、通過MAC 地址與 IP 地址的成都科來軟件有限公司電話：mail ： sales傳真：upport5/18科來網(wǎng)絡(luò)分析系統(tǒng)5.0 使用介紹對應比較，可以有效確定網(wǎng)絡(luò)中是否存在用戶私自更改否存在偽造IP 地址或 MAC 地址的攻擊。IP或MAC的情況，以及網(wǎng)絡(luò)中是3. 工程狀態(tài)欄主要用于顯示當前工程文件的狀態(tài)統(tǒng)計信息， 具體包括數(shù)據(jù)包過濾器、數(shù)據(jù)包、丟失的數(shù)據(jù)包、接受的數(shù)據(jù)包、拒絕的數(shù)據(jù)包和緩存使用率，如圖錯誤數(shù)據(jù)包、 捕獲的5 所示。（圖 5工程狀態(tài)欄）單擊 “丟失的數(shù)據(jù)包 ”、“接受的數(shù)據(jù)包 ”、“拒絕的數(shù)據(jù)包 ”、“緩存使用率 ”，

13、可將其顯示方式在具體值和百分比間切換；雙擊 “數(shù)據(jù)包過濾器 ”、“接受的數(shù)據(jù)包 ”、“拒絕的數(shù)據(jù)包 ”可打開過濾器設(shè)置對話框，雙擊 “緩存使用率 ”將打開常規(guī)設(shè)置對話框。4. 主視圖顯示區(qū)主視圖顯示區(qū)是系統(tǒng)與用戶最主要的交流平臺， 它最大的作用是顯示網(wǎng)絡(luò)中各種數(shù)據(jù)通訊信息。它包括概要統(tǒng)計、節(jié)點、協(xié)議、數(shù)據(jù)包、連接、日志、圖表七個視圖，用以顯示節(jié)點瀏覽器中選定節(jié)點所對應的不同數(shù)據(jù)通訊信息。（注： 在節(jié)點瀏覽器中選擇不同節(jié)點時， 各視圖中的數(shù)據(jù)會發(fā)生相應的改變，指明節(jié)點的位置，均表示節(jié)瀏覽器中選定的是根節(jié)點，即當前工程名。 ）以下如未明確概要統(tǒng)計 ：概要統(tǒng)計用來顯示當前網(wǎng)絡(luò)通訊的各種信息統(tǒng)計值，

14、通過這些值， 我們可以知道網(wǎng)絡(luò)的流量占用、數(shù)據(jù)包大小分布、錯誤包以及 TCP 連接等信息，具體包括：統(tǒng)計信息：顯示科來網(wǎng)絡(luò)分析系統(tǒng)開始運行的日期、時間，以及持續(xù)運行的時間。物理錯誤：顯示網(wǎng)絡(luò)中的物理錯誤數(shù)據(jù)包數(shù)，包括CRC 錯誤、對齊錯誤、過大數(shù)據(jù)包錯誤和過小數(shù)據(jù)包錯誤。如果系統(tǒng)捕獲到網(wǎng)絡(luò)中有較多此類物理錯誤的數(shù)據(jù)包，表示當前網(wǎng)絡(luò)的物理層可能存在故障，具體可能是由網(wǎng)絡(luò)設(shè)備及線路干擾過大、網(wǎng)線 RJ45 頭損壞、接觸不良、線路兩端設(shè)備速率不匹配等情況造成。802.3錯誤：顯示網(wǎng)絡(luò)中IEEE802.3錯誤的數(shù)據(jù)包數(shù)，包括802.3一次沖突錯誤、802.3多次沖突錯誤、802.3最大沖突錯誤和802

15、.3延遲發(fā)送錯誤。當網(wǎng)絡(luò)中出現(xiàn)較成都科來軟件有限公司電話：傳真：028-85120922028-851209116/18Email ： sales support科來網(wǎng)絡(luò)分析系統(tǒng)5.0 使用介紹多此類物理數(shù)據(jù)包時， 表示網(wǎng)絡(luò)的傳輸存在故障， 具體可能是由網(wǎng)絡(luò)阻塞、 兩端設(shè)備速率模式不匹配、傳輸線路超出規(guī)定范圍、網(wǎng)絡(luò)設(shè)備（如網(wǎng)卡）硬件錯誤等情況造成。網(wǎng)絡(luò)流量： 顯示網(wǎng)絡(luò)中數(shù)據(jù)通訊的流量占用情況，包括總共流量、 廣播流量和組播流量。對每種流量，又可詳細統(tǒng)計出其字節(jié)，數(shù)據(jù)包，每秒數(shù)據(jù)包，利用率等信息，通過這些信息，我們可以知道當前網(wǎng)絡(luò)的總體工作狀態(tài)：當總共流量的利用率超過50% ，表示網(wǎng)絡(luò)的負載過重

16、；廣播流量或組播流量大于總流量的20% ，表示網(wǎng)絡(luò)中可能存在廣播/ 組播風暴或ARP 攻擊。數(shù)據(jù)包大小分布：顯示網(wǎng)絡(luò)中數(shù)據(jù)包的大小分布情況，不同大小的數(shù)據(jù)包，都可對其總共字節(jié)、數(shù)據(jù)包數(shù)、 每秒數(shù)據(jù)包數(shù)、 以及利用率等信息進行統(tǒng)計，通過數(shù)據(jù)包大小分布，可以知道網(wǎng)絡(luò)的通訊質(zhì)量，如當<=64或 >=1518的數(shù)據(jù)包過多，占用總流量比例過大時，表示網(wǎng)絡(luò)中可能存在非正常的網(wǎng)絡(luò)通訊，如碎片或數(shù)據(jù)包溢出攻擊。最常見的數(shù)據(jù)包大?。?顯示網(wǎng)絡(luò)中數(shù)量最多的數(shù)據(jù)包的大小以及這些數(shù)據(jù)包的流量占用情況， 包括這些數(shù)據(jù)包的個數(shù)，占用字節(jié)數(shù)， 每秒數(shù)據(jù)包數(shù)以及利用率等信息。通過這些信息， 我們可以知道當前網(wǎng)絡(luò)通

17、訊中最多的數(shù)據(jù)包是什么，并判定其相應的服務， 如1518 和 64 字節(jié)左右的數(shù)據(jù)包排在前兩位，表示網(wǎng)絡(luò)中可能存在大文件的上傳下載操作；另外，如網(wǎng)絡(luò)中某固定大小的數(shù)據(jù)包占用流量及利用率均很高，表示網(wǎng)絡(luò)中可能存在 DOS/DDOS/DRDOS攻擊。TCP 數(shù)據(jù)包：顯示網(wǎng)絡(luò)中的TCP 數(shù)據(jù)包數(shù)，包括TCP 同步數(shù)據(jù)包、 TCP 結(jié)束連接數(shù)據(jù)包、 TCP 復位數(shù)據(jù)包、 TCP 錯誤檢驗和數(shù)據(jù)包、TCP 重傳數(shù)據(jù)包以及 TCP 零窗口數(shù)據(jù)包，對每一種 TCP 數(shù)據(jù)包，都可以顯示出其占用字節(jié)數(shù)，數(shù)據(jù)包個數(shù)，每秒數(shù)據(jù)包數(shù)以及利用率等信息，通過這些信息，可以知道網(wǎng)絡(luò)中的通訊是否正常。如TCP 同步數(shù)據(jù)包和

18、TCP 復位數(shù)據(jù)包大大超過其他類型數(shù)據(jù)包時，表示網(wǎng)絡(luò)中可能有掃描器在工作，或者網(wǎng)絡(luò)中有主機正在被掃描攻擊；當TCP 重傳數(shù)據(jù)包過多時，則表示網(wǎng)絡(luò)的通訊質(zhì)量極低，可能存在環(huán)路現(xiàn)象；當TCP 零窗口數(shù)據(jù)包較多時，表示對端主機當前無法接受數(shù)據(jù)，對方主機系統(tǒng)可能存在故障。TCP 連接：顯示網(wǎng)絡(luò)中的TCP 連接數(shù)，可統(tǒng)計出初始化的TCP 連接數(shù)、成功建立的TCP 連接數(shù)、 拒絕的 TCP 連接數(shù)和復位的TCP 連接數(shù)。 通過對這些信息的統(tǒng)計， 我們可以知道網(wǎng)絡(luò)中的 TCP 通信是否正常，如初始化的TCP 連接數(shù)較多，而成功建立的TCP 連接數(shù)很少時，表示網(wǎng)絡(luò)中的主機可能感染病毒，且此病毒正在試圖連接其他

19、主機的某些 TCP 端口以進行感染； 拒絕的 TCP 連接數(shù)較多時， 表示網(wǎng)絡(luò)可可能存在端口掃描攻擊或用戶名密碼破解攻擊。SMTP 分析：顯示使用SMTP 協(xié)議進行郵件發(fā)送的信息，包括建立的SMTP 連接數(shù)，失敗的 SMTP 連接數(shù)、服務器應答錯誤數(shù)，以及發(fā)送的郵件數(shù)等等。通過這些數(shù)據(jù)，我們可以確定網(wǎng)絡(luò)中的郵件發(fā)送是否正常，如網(wǎng)絡(luò)中的 SMTP 服務器工作是否正常 （包括工作效率）；網(wǎng)絡(luò)中的 SMTP 服務器是否可能被黑客控制，正被用于處理垃圾郵件；網(wǎng)絡(luò)中是否存在感染蠕蟲病毒的主機；網(wǎng)絡(luò)中是否存在破解郵箱用戶名密碼的情況。POP3 分析：顯示使用POP3 協(xié)議進行郵件接收的信息，包括建立的PO

20、P3 連接數(shù)，失敗的 POP3 連接數(shù)、服務器返回錯誤數(shù)，以及接收的郵件數(shù)等等。通過這些數(shù)據(jù)，我們可以確定網(wǎng)絡(luò)中的郵件接收是否正常，如郵件的POP3 服務器是否正常工作（包括其工作效率） ；網(wǎng)絡(luò)中是否存在破解郵箱用戶名密碼的情況。FTP 分析：顯示網(wǎng)絡(luò)中FTP 傳輸數(shù)據(jù)包的統(tǒng)計信息，包括FTP 控制連接數(shù)、登錄失敗次數(shù)、 成功的數(shù)據(jù)連接數(shù)、以及訪問的服務器數(shù)等。通過這些信息，我們可以確定網(wǎng)絡(luò)中進行 FTP 數(shù)據(jù)上傳下載的情況， 包括 FTP 服務器的數(shù)據(jù)是否被未被允許的上傳下載，成都科來軟件有限公司電話：mail ： sales傳真：up

21、port7/18科來網(wǎng)絡(luò)分析系統(tǒng)5.0 使用介紹網(wǎng)絡(luò)中是否存在FTP 賬戶的用戶名密碼的情況，以及對上傳下載的數(shù)據(jù)進行統(tǒng)計。HTTP分析：顯示網(wǎng)絡(luò)中上網(wǎng)的統(tǒng)計信息，包括HTTP連接數(shù)、 HTTP請求數(shù)、通過HTTP 端口傳輸非HTTP 數(shù)據(jù)的連接數(shù)、訪問過的HTTP 服務器數(shù)等。通過這些信息，我們可以對網(wǎng)絡(luò)中的網(wǎng)頁瀏覽進行統(tǒng)計，并確定網(wǎng)絡(luò)中是否存在使用HTTP代理的程序，如通過HTTP 端口傳輸非HTTP 數(shù)據(jù)的連接數(shù)較大時，說明網(wǎng)絡(luò)中可能正在運行使用 HTTP 代理服務器工作的程序，如QQ 、 MSN 等 P2P 軟件。端點 ：端點視圖可以有效顯示出當前網(wǎng)絡(luò)通訊所涉及到的節(jié)點情況，有三種端點

22、類型，如圖6 所示，當前選定的類型為All 。All 、 Physical、 IP（圖6端點視圖）從上圖可以清楚地得出當前網(wǎng)絡(luò)中所有主機（包括一個網(wǎng)段、 一個物理 MAC 地址、一個 IP ）的具體流量占用情況，如總流量最大的主機、發(fā)送流量最大的主機、接收流量最大的主機、收發(fā)數(shù)據(jù)包數(shù)最多的主機、發(fā)送數(shù)據(jù)包最多的主機、接收數(shù)據(jù)包最多的主機、內(nèi)部流量、以及廣播流量最大的主機等信息。通過這些信息，我們可以確定網(wǎng)絡(luò)中是否廣播 / 組播風暴，并幫助用戶排查網(wǎng)絡(luò)速度慢、網(wǎng)絡(luò)時斷時續(xù)、蠕蟲病毒攻擊、 DOS 攻擊、以及用戶無法上網(wǎng)等網(wǎng)絡(luò)故障。協(xié)議 ：協(xié)議視圖可以有效顯示網(wǎng)絡(luò)中數(shù)據(jù)通訊所使用的協(xié)議，協(xié)議采用樹

23、狀層級方式顯示，對每一種協(xié)議， 都對其占用的流量、使用此協(xié)議的數(shù)據(jù)包個數(shù)、此協(xié)議的流量在總流量中的百分比、以及使用此協(xié)議的數(shù)據(jù)包在總數(shù)據(jù)包中的百分比進行了統(tǒng)計，如圖7 所示。通過成都科來軟件有限公司電話：mail ： sales傳真：upport8/18科來網(wǎng)絡(luò)分析系統(tǒng)5.0 使用介紹協(xié)議視圖對各視圖占用流量及百分比的統(tǒng)計，用戶可以得出當前網(wǎng)絡(luò)中占用流量最多的協(xié)議，即當前網(wǎng)絡(luò)中占用流量最多的服務類型， 并幫助用戶排查網(wǎng)絡(luò)速度慢、 郵件蠕蟲病毒攻擊、網(wǎng)絡(luò)時斷時續(xù)以及用戶無法上網(wǎng)等網(wǎng)絡(luò)故障。（注： 查看協(xié)議占用的比例時，需對應科來網(wǎng)絡(luò)分析系統(tǒng)

24、協(xié)議列表中各層次的協(xié)議關(guān)系，在同級協(xié)議之間比較，如 TCP 與 UDP ，HTTP 與 SMTP 等，如果使用 TCP 與 DNS 等不同級的協(xié)議進行比較，得出的結(jié)果將不準確。 ）（圖 7協(xié)議視圖）數(shù)據(jù)包 ：數(shù)據(jù)包視圖用來顯示網(wǎng)絡(luò)中數(shù)據(jù)通訊的原始信息，對其進行原始解碼分析，它包括數(shù)據(jù)包顯示區(qū)和下方的解碼視圖區(qū)，解碼的內(nèi)容包括數(shù)據(jù)包所有層次的信息。通過解碼信息，我們可以知道，網(wǎng)絡(luò)中的數(shù)據(jù)包的類型、網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包是否正確、網(wǎng)絡(luò)中IP 數(shù)據(jù)包的版本； 并確定目標主機是否在運行客戶端主機所請求的服務、源主機到目標主機間的路由時間（即鏈路長度） 、目標主機對客戶端主機請求的服務的響應時間、網(wǎng)絡(luò)中傳輸

25、的數(shù)據(jù)是否為緊急數(shù)據(jù)、 數(shù)據(jù)包在網(wǎng)絡(luò)中經(jīng)過的路由跳數(shù)、網(wǎng)絡(luò)中是否存在環(huán)路現(xiàn)象、以及用戶訪問目標主機某服務的原始步驟等等。其界面如圖8 所示。成都科來軟件有限公司電話：mail ： sales傳真：upport9/18科來網(wǎng)絡(luò)分析系統(tǒng)5.0 使用介紹（圖 8數(shù)據(jù)包視圖）連接 ：連接視圖專指 TCP 連接，用來顯示網(wǎng)絡(luò)中 TCP 連接的信息，包括成功的、失敗的、活動的、停止的、正在建立的、已建立的、正在關(guān)閉的、已關(guān)閉的。并在下方的子窗口中顯示當前選定連接的基本通信信息、TCP 數(shù)據(jù)流重組信息、原始數(shù)據(jù)包信息、對應的日志文件。對于每條連接，都可

26、統(tǒng)計其源地址、目標地址、當前狀態(tài)、協(xié)議、該連接收發(fā)的數(shù)據(jù)包及這些數(shù)據(jù)包的大小等信息。通過這些信息， 我們可以確定出當前網(wǎng)絡(luò)中TCP 通訊的情況，如查看兩臺主機之間的通訊內(nèi)容、網(wǎng)絡(luò)中是否存在TCP 端口掃描攻擊、網(wǎng)絡(luò)中是否存在基于 TCP 協(xié)議的服務的賬戶用戶名密碼破解攻擊、網(wǎng)絡(luò)中是否存在郵件蠕蟲病毒攻擊、網(wǎng)絡(luò)中是否存在長時間連接且流量小的TCP 連接（ QQ/MSN 等程序使用 HTTP 代理即為此現(xiàn)象）；下方的TCP 數(shù)據(jù)流重組，可以方便地得出當前選定連接的原始操作信息，通過TCP連接的原始信息，我們可以確定這些TCP 通訊的內(nèi)容、步驟，并斷定此連接是否正常。其界面如圖 9 所示， 圖中顯示

27、的內(nèi)容表示當前的連接是一個通過HTTP 協(xié)議訪問網(wǎng)頁的情況。成都科來軟件有限公司電話：mail ： sales傳真：upport10/18科來網(wǎng)絡(luò)分析系統(tǒng)5.0 使用介紹（圖 9連接視圖）日志 ：日志視圖記錄網(wǎng)絡(luò)中用戶的高級網(wǎng)絡(luò)運用，包括HTTP 請求（網(wǎng)頁瀏覽） ，郵件信息（通過 SMTP/POP3進行的郵件收發(fā)）以及FTP 傳輸（通過FTP 進行的數(shù)據(jù)上傳下載） ，并可根據(jù)用戶的需要將這些日志信息保存到硬盤以備查閱。其界面如圖10 所示，當前選定的是 HTTP 請求的日志視圖。成都科來軟件有限公司電話：ma

28、il ： sales傳真：upport11/18科來網(wǎng)絡(luò)分析系統(tǒng)5.0 使用介紹（圖10日志視圖）在 HTTP 請求日志視圖中，每條日志均表示由用戶發(fā)起的一個HTTP 請求，對于日志信息，系統(tǒng)可以捕獲并統(tǒng)計出其對應的客戶端地址、服務端地址、請求網(wǎng)址、請求方法、 服務器響應、服務器返回的狀態(tài)碼、以及這條日志所持續(xù)的時間等信息。通過這些信息，我們可以有效查看網(wǎng)絡(luò)中所有用戶或者指定某用戶的網(wǎng)頁瀏覽情況（包括請求/ 被請求的網(wǎng)址信息，以及訪問的頻率） ，從而確定網(wǎng)絡(luò)中是否存在惡意網(wǎng)頁訪問（攻擊Web 服務器 80 端口）、以及 Web 服務器的工作狀態(tài)是否正常。在郵件信息日

29、志視圖中，每條日志均表示用戶通過 SMTP/POP3 協(xié)議成功進行的郵件收發(fā)操作， 對于每條日志信息，可以捕獲并統(tǒng)計出其對應客戶端地址、 服務端地址、郵件發(fā)送者及其郵件地址、 郵件接收者及其郵件地址、 郵件抄送者、 郵件客戶端軟件、 郵件內(nèi)容的大小、郵件是否攜帶附件、 以及這條日志對應操作的精確時間。 通過這些信息， 我們可以有效查看網(wǎng)絡(luò)中所有用戶或指定用戶的郵件收發(fā)情況， 從而確定網(wǎng)絡(luò)中的郵件收發(fā)是否正常、 是否存在郵件蠕蟲病毒攻擊、是否存在對郵件服務器的攻擊等情況。在 FTP 傳輸日志視圖中，每條日志均表示用戶從 FTP 服務器上傳 / 下載一個文件的操作。對于每條日志信息， 可以捕獲并統(tǒng)

30、計出其對應客戶端地址、服務器端地址、 賬號信息、 操作類型（上傳或下載） 、傳輸模式（主動或被動）、傳輸?shù)目傋止?jié)數(shù)和總包數(shù)等信息。通過這些信息，我們可以有效查看網(wǎng)絡(luò)中的FTP 文件傳輸情況，從而確定網(wǎng)絡(luò)中的FTP 傳輸是否正常、網(wǎng)絡(luò)中是否存在FTP 攻擊（攻擊相應主機后通過FTP 方式對其進行上傳下載文件的操作）等情況。成都科來軟件有限公司電話：mail ： sales傳真：upport12/18科來網(wǎng)絡(luò)分析系統(tǒng)5.0 使用介紹圖表 ：圖表視圖的內(nèi)容與統(tǒng)計概要的內(nèi)容相同，它使用圖表方式形象地顯示當前的網(wǎng)絡(luò)通訊情況，包括錯誤數(shù)據(jù)包、常規(guī)、T

31、CP 分析、郵件分析、FTP 分析和 HTTP 分析子項，每個子項中都可通過不同顯示時間以及不同圖表類型等情況進行顯示。其界面如圖11 所示，圖中顯示的是數(shù)據(jù)包大小分布情況。（圖11圖表視圖）錯誤數(shù)據(jù)包：包括物理錯誤包的統(tǒng)計信息、 802.3 錯誤包的統(tǒng)計信息、以及錯誤包與正常包的對比信息。 通過這些信息， 我們可以確定網(wǎng)絡(luò)的工作狀態(tài)是否合理、 網(wǎng)絡(luò)的鏈路層是否存在故障、網(wǎng)絡(luò)的傳輸是否存在故障、網(wǎng)絡(luò)設(shè)備（如網(wǎng)卡）是否存在硬件錯誤、傳輸線路是否超過規(guī)定范圍、網(wǎng)絡(luò)對端設(shè)備的速率是否匹配、線路干擾是否過大等情況。常規(guī)： 對網(wǎng)絡(luò)整體或用戶選定節(jié)點的常規(guī)信息進行統(tǒng)計并以圖表顯示，包括網(wǎng)絡(luò)利用率、數(shù)據(jù)包數(shù)

32、量、 數(shù)據(jù)包大小分布等情況，通過這些信息， 我們可以確定網(wǎng)絡(luò)或用戶選定節(jié)點的主機的工作狀態(tài)是否過于繁忙、 網(wǎng)絡(luò)中是否可能存在網(wǎng)絡(luò)攻擊、 網(wǎng)絡(luò)中數(shù)據(jù)包的增長趨勢圖等情況。TCP 分析：對網(wǎng)絡(luò)中的TCP 連接進行統(tǒng)計并以圖表方式顯示，包括TCP 連接、包、 TCP 同步包、結(jié)束包和復位包等信息。通過這些信息，我們可以確定網(wǎng)絡(luò)內(nèi)包的傳輸質(zhì)量、網(wǎng)絡(luò)中是否存在自動運行的重傳攻擊、是否存在端口掃描攻擊等信息。TCP 數(shù)據(jù)TCP 數(shù)據(jù)郵件分析： 對網(wǎng)絡(luò)中的郵件收發(fā)信息進行統(tǒng)計并以圖表方式顯示，通過此表， 我們可以確定成都科來軟件有限公司電話：傳真：028-85120922028-8512091113/18E

33、mail ： sales support科來網(wǎng)絡(luò)分析系統(tǒng)5.0 使用介紹網(wǎng)絡(luò)中發(fā)送與接收郵件的數(shù)量、 比例，并幫助用戶判斷網(wǎng)絡(luò)中是否有被郵件病毒感染并發(fā)起郵件蠕蟲病毒攻擊的主機。FTP 分析：對網(wǎng)絡(luò)中的FTP 數(shù)據(jù)傳輸信息進行統(tǒng)計并以圖表方式顯示，通過此表，我們可以確定網(wǎng)絡(luò)中通過 FTP 進行上傳或下載的文件的數(shù)量、 比例，并幫助用戶判斷網(wǎng)絡(luò)中的 FTP上傳下載是否正常。HTTP 分析：對網(wǎng)絡(luò)中的HTTP 網(wǎng)頁訪問信息進行統(tǒng)計并以圖表方式顯示，通過此表，我們可以確定網(wǎng)絡(luò)中 HTTP請求（網(wǎng)頁訪問）的數(shù)量、增長趨勢，并幫助用戶判斷網(wǎng)絡(luò)中的網(wǎng)頁訪問是否正常。5. 報表科來網(wǎng)絡(luò)分析系統(tǒng)提供的報表功能

34、可以將網(wǎng)絡(luò)中的各種信息輸出為html格式的報表文件，其中報表包括的內(nèi)容有概要統(tǒng)計視圖的內(nèi)容、協(xié)議統(tǒng)計視圖的內(nèi)容、TOP 10的物理地址、TOP 10 的 IP 地址、 TOP 10 的本地 IP 地址、 TOP 10 的遠程 IP 地址、以及圖表視圖的內(nèi)容。三、科來網(wǎng)絡(luò)分析系統(tǒng)5.0主要數(shù)據(jù)及數(shù)據(jù)的分析利用科來網(wǎng)絡(luò)分析系統(tǒng)5.0 中的主要數(shù)據(jù)及數(shù)據(jù)對應的分析利用簡表如表1 所示。節(jié)點瀏覽器主要數(shù)據(jù)區(qū)數(shù)據(jù)內(nèi)容樹狀層級方式顯示網(wǎng)絡(luò)中通協(xié)議訊使用的協(xié)議樹狀方式顯示當前網(wǎng)絡(luò)中通IP 端點訊所涉及到的IP 地址樹狀方式顯示當前網(wǎng)絡(luò)中通物理端點訊所涉及到的MAC 地址和IP 地址數(shù)據(jù)分析利用有效查看網(wǎng)絡(luò)中

35、使用的服務；確定網(wǎng)絡(luò)中是否存在異常數(shù)據(jù)通訊；確定網(wǎng)絡(luò)中是否存在異常攻擊（如 ARP 攻擊）；查看網(wǎng)段內(nèi)部主機間的流量；確定網(wǎng)絡(luò)中活動的IP 主機；確定活動主機工作是否正常；確定是否存在偽造 IP 地址的攻擊；查看網(wǎng)段內(nèi)部主機間的流量；確定網(wǎng)絡(luò)中是否存在非法更改 IP/MAC 的情況；確定網(wǎng)絡(luò)中是否存在偽造 IP/MAC 地址的攻擊；概要統(tǒng)計視圖主要數(shù)據(jù)區(qū)數(shù)據(jù)內(nèi)容數(shù)據(jù)分析利用CRC 錯誤網(wǎng)絡(luò)中出現(xiàn)較多此類物理錯誤的數(shù)據(jù)包時，表物理錯誤重組錯誤示網(wǎng)絡(luò)的物理層存在故障，具體可能是網(wǎng)絡(luò)設(shè)過大數(shù)據(jù)包備及線路干擾過大、 網(wǎng)線 RJ45 頭損壞、接觸不過小數(shù)據(jù)包良、線路兩端設(shè)備速率不匹配等。802.3 錯誤

36、一次沖突錯誤網(wǎng)絡(luò)中出現(xiàn)較多此類錯誤數(shù)據(jù)包時，表示網(wǎng)絡(luò)成都科來軟件有限公司電話：mail ： sales傳真：upport14/18網(wǎng)絡(luò)流量數(shù)據(jù)包大小分布最常見的數(shù)據(jù)包大小TCP 數(shù)據(jù)包TCP 連接SMTP 分析POP3 分析FTP 分析HTTP 分析端點視圖主要數(shù)據(jù)區(qū)All/Physical/IP三種 端點數(shù)據(jù)多次沖突錯誤最大沖突錯誤延遲沖突錯誤總共流量廣播流量組播流量網(wǎng)絡(luò)中不同大小數(shù)據(jù)包分布情況網(wǎng)絡(luò)中數(shù)量最多的數(shù)據(jù)包TOP10TCP 同步數(shù)據(jù)包 TCP 結(jié)束連接數(shù)據(jù)包TCP 復位數(shù)據(jù)包TCP 錯誤檢驗和數(shù)據(jù)包TCP 重傳數(shù)據(jù)包 TCP

37、零窗口數(shù)據(jù)包初始化的 TCP 連接數(shù)成功建立的 TCP 連接數(shù)拒絕的 TCP 連接數(shù)復位的 TCP 連接數(shù)使用 SMTP 協(xié)議進行郵件發(fā)送的信息使用 POP3 協(xié)議進行郵件接收的信息使用 FTP 進行文件上傳下載的信息使用 HTTP 訪問網(wǎng)頁的信息數(shù)據(jù)內(nèi)容網(wǎng)絡(luò)中所有主機的占用情況總流量最大的主機科來網(wǎng)絡(luò)分析系統(tǒng) 5.0 使用介紹的傳輸存在故障，具體可能是由網(wǎng)絡(luò)阻塞、兩端設(shè)備速率模式不匹配、傳輸線路超出規(guī)定范圍、網(wǎng)絡(luò)設(shè)備（如網(wǎng)卡）硬件錯誤等情況造成。得出網(wǎng)絡(luò)的總體工作狀態(tài)，如總共流量的利用率超過 50% ，表示網(wǎng)絡(luò)的負載過重；廣播流量或組播流量大于總流量的 20% ，表示網(wǎng)絡(luò)中可能存在廣播 /

38、組播風暴或 ARP 攻擊。確定網(wǎng)絡(luò)的通訊質(zhì)量；確定網(wǎng)絡(luò)中是否存在碎片或溢出攻擊等非正常訪問。確定網(wǎng)絡(luò)中使用最頻繁的服務；確定網(wǎng)絡(luò)中是否可能存在DOS/DDOS/DRDOS攻擊。確定網(wǎng)絡(luò)中是否有掃描器在工作或是否有主機被掃描攻擊；確定網(wǎng)絡(luò)的通訊質(zhì)量；確定中是否存在環(huán)路故障；確定對端主機是否存在故障。確定網(wǎng)絡(luò)中的 TCP 通信是否正常；確定網(wǎng)絡(luò)中是否有主機感染病毒；確定網(wǎng)絡(luò)中存在端口掃描攻擊或用戶名密碼破解攻擊；確定網(wǎng)絡(luò)中的郵件發(fā)送是否正常；確定網(wǎng)絡(luò)中的 SMTP 服務器工作是否正常；確定網(wǎng)絡(luò)中是否存在感染蠕蟲病毒的主機；網(wǎng)絡(luò)中是否存在破解郵箱用戶名密碼的情況。確定網(wǎng)絡(luò)中的郵件接收是否正常；郵件的

39、 POP3 服務器是否正常工作；網(wǎng)絡(luò)中是否存在破解郵箱用戶名密碼的情況。統(tǒng)計上傳下載的數(shù)據(jù)；確定網(wǎng)絡(luò)中 FTP 服務器的數(shù)據(jù)是否被未被允許的上傳下載；確定網(wǎng)絡(luò)中是否存在確解 FTP 賬戶的用戶名密碼情況。對網(wǎng)絡(luò)中的網(wǎng)頁瀏覽進行統(tǒng)計；確定網(wǎng)絡(luò)中是否存在使用HTTP 代理的程序，如 QQ 、 MSN 等 P2P 軟件。數(shù)據(jù)分析利用確定網(wǎng)絡(luò)中是否廣播 / 組播風暴；幫助排查網(wǎng)絡(luò)速度慢故障；成都科來軟件有限公司電話：mail ： sales傳真：upport15/18科來網(wǎng)絡(luò)分析系統(tǒng) 5.0 使用介紹發(fā)送流量最大的主機幫助排查網(wǎng)絡(luò)時斷時續(xù)故障；接收流量最大的主機幫助查找用戶無法上網(wǎng)故障；收發(fā)數(shù)據(jù)包數(shù)最多的主機幫助查找蠕蟲病毒攻擊；發(fā)送數(shù)據(jù)包最多的主機幫助查找 DOS 攻擊；接收數(shù)據(jù)包最多的主機內(nèi)部流量廣播流量最大的主機協(xié)議視圖主要數(shù)據(jù)區(qū)數(shù)據(jù)內(nèi)容數(shù)據(jù)分析利用占用的流量查看網(wǎng)絡(luò)中各協(xié)議的流量占用及百分比