《科来网络分析系统6.0使用说明书》由会员分享,可在线阅读,更多相关《科来网络分析系统6.0使用说明书(32页珍藏版)》请在金锄头文库上搜索。
1、开始使用开始使用选择网卡 网络数据包是通过网卡进行转发的,对数据包的捕获需要利用网卡进行采集,在进行工程 运行之前,需要选择分析的网卡。 科来网络分析系统支持多网卡进行数据采集,同时也支持拨号的上网和本地环回。本地环 回是指客户 端和访问的服务器端都是本机,此时的网络数据并不经过网卡,科来网络分析 系统同样支持以类数据的监测分析。 在工程设置中,科来网络分析系统会自动列出所有可用到的网卡类型,用户可以根据实际 情况进行选择。设置显示选项设置显示选项 科来网络分析系统的每一个视图都为用户提供了非常丰富的统计字段,为了适合查看,并 没有所有的字段都显示出来。用户可以通过列表选项来设置显示的数据,右
2、键点击每个视 图字段标题,将可以打开显示选项。软件界面软件界面菜单菜单 下面的表格是菜单命令以及相应说明下面的表格是菜单命令以及相应说明:节点浏览器节点浏览器 节点浏览器最大的用途,就是能快速的选择需要查看的节点,通过选择节点,用户可以查 看该节点对应的网络数据。节点浏览器由三个类组成,分别是协议节点,物理节点,IP 节 点。用户可以很方便的定位到整个网络,也可以定位到某个 IP 段,或是某个 IP。而右边的 数据会根据选择的节点显示相关的数据。工程状态栏工程状态栏 我们为每个工程都提供一个状态栏,用户可以查看当前工程的执行情况和配置状态。包括 使用的过滤器,捕获到的数据包,数据包缓存的占用情
3、况等。缓存使用率的颜色条默认情 况下是蓝色,超过 80%,将变为橙色,超过 90%,则显示为红色。主视图区主视图区 网络分析的主要数据结果,都放置在主视图区。科来网络分析系统 5.0 包含以下视图,每 个视图都包含不同的分析结果。 数据排序功能是一个对数据查看很有用的功能,用户对于想查看的数据排序,只需要单击 一下列表的字段,就可以进行正序或倒序的排列,如下图所示。查找带宽占用最大的 IP, 或查找数据包发送最多的 IP,利用数据排序将是非常容易的方法。科来网络分析系统的每一个视图都为用户提供了非常丰富的统计字段,为了适合查看,并科来网络分析系统的每一个视图都为用户提供了非常丰富的统计字段,为
4、了适合查看,并 没有所有的字段都显示出来。用户可以通过列表选项来设置显示的数据,右键点击每个视没有所有的字段都显示出来。用户可以通过列表选项来设置显示的数据,右键点击每个视 图字段标题,将可以打开显示选项。图字段标题,将可以打开显示选项。概要统计概要统计 科来网络分析系统的统计功能非常强大,近百个统计计数器为用户提供非常详尽的统计信 息,快照功能允许用户对特定时段的数据变化进行比较。概要统计不仅是全局的,每个网 络协议和网络端点都有自己的概要统计,用户可以开启多个窗口,比较不同协议或端点之 间的概要统计。端点端点 网络端点是网络通讯中的重要组成部分,是网络通讯的两端,科来网络分析系统将分为物
5、理端点和 IP 端点,通过网络端点统计分析功能,用户可以快速找定位通讯量最大的 IP 端 点和物理端点。系统还支持每个网络协议的端点流量明晰统计排名,比如用户可以知道 HTTP 协议下前 5 个 IP 端点。从上图可以清楚地得出当前网络中所有主机 (包括一个网段、一个物理 MAC 地址、一个IP)的具体流量占用情况,如总流量最大的主机、发送流量最大的主机、接收流量最大的 主机、收发数据包数最多的主机、发送数据包最多的主机、接收数据包最多的主机、内部 流量、以及广播流量最大的主机等信息。通过这些信息,我们可以确定网络中是否广播/组 播风暴,并帮助用户排查网络速度慢、网络时断时续、蠕 虫病毒攻击、
6、DOS 攻击、以及用户无法上网等网络故障。协议协议 遵循 OSI 七层协议分析,根据实际的网络协议封装顺序,层次化得展现给用户,每个协议 有自己的色彩,除了全局的协议统计,还可提供每个网络端点下的协议统计数据。协议视图可以有效显示网络中数据通讯所使用的协议,协议采用树状层级方式显示,对每 一种协议,都对其占用的流量、使用此协议的数据包个数、此协议的流量在总流量中的百 分比、以及使用此协议的数据包在总数据包中的百分比进行了统计,如图所示。通过协议 视图对各视图占用流量及百分比的统计,用户可以得出当前网络中占用流量最多的协议, 即当前网络中占用流量最多的服务类型;并帮助用户排查网络速度慢、邮件蠕虫
7、病毒攻击、 网络时断时续以及用户无法上网等网络故障。 数据包数据包 数据包解码由概要解码、字段解码、十六进制解码组成,概要解码是自动进行,用户也可 以选择概要解码的协议层,帮助用户快速定位可疑的网络数据包,用户还可以选择单个数 据包进行详细解码,详细解码字段可以和数据包原始数据互动,即便是精心伪造的网络攻 击、欺骗数据包在这种模式下也无所遁形,点击这里了解数据包解码详细信息。 通过解码信息,我们可以了解以下信息: 1. 数据包的概要信息 (作用、以及提取的重要值) ; 2. 网络中的数据包的类型; 3. 网络中传输的数据包是否正确; 4. 网络中 IP 数据包的版本; 5. 目标主机是否在运行
8、客户端主机所请求的服务; 6. 源主机到目标主机间的路由时间 (即链路长度) ; 7. 目标主机对客户端主机请求的服务的响应时间; 8. 网络中传输的数据是否为紧急数据; 9. 数据包在网络中经过的路由跳数; 10. 网络中是否存在环路现象; 11. 用户访问目标主机某服务的原始步骤。概要解码概要解码 概要解码逐行显示每一个捕获数据包的概要信息。概要信息主要包括:数据包被捕获的绝对时间、源 IP 及使用端口、发送的目标 IP 及端口、使用的协议、数据包的大小、概要内 容等。 对数据包进行查看,管理人员可以: 1. 设定显示选项,自定义要查看的数据列 2. 双击打开新窗口查看数据包解码的全部内容
9、 3. 高亮显示选择的数据包 4. 对感兴趣的数据包添加注释 5. 选择相关联的数据包 6. 通过 Page UP 和 Page Down 来浏览前后数据包 7. 通过数据包生成过滤器 8. 导出数据包 9. 定位该数据包所在节点 10. 将 MAC 地址或 IP 地址添加到名字表 11. 使用滚屏功能始终显示最新的数据包 字段解码字段解码 字段解码也称为详细解码,可以看到数据包的详细信息。默认情况下,科来网络分析系统 将在字段解码框中逐层展开协议层的内容,并按照树型结构显示。要节省查看空间,请单 击协议子层前面的减号(-)。要再次展开协议显示,请单击加号(+)。点鼠标右键的 “复制树 结构”
10、,可以将协议子层的数据复制到剪切板上。如果想了解字段的详细信息,可查看网站 提供的常见协议详细解码资料。十六进制解码十六进制解码 十六进制解码是以十六进制和 ASCII(或 EBCDIC)格式显示所选数据包。当您选择 “概要解 码”中的数据包或在 “字段解码”选择了协议字段后,该数据包相应的十六进制字节(Hex 格 式)将在 “十六进制解码视图框”中高这显示,如图所示。这样您可以很快的了解协议字段与 它在数据包中相应字节的对应关系。 TCP 数据流重组数据流重组 科来网络分析系统可以将捕获到的网络数据按照正确的顺序,重组成 TCP 片段。根据 TCP数据流,管理人可以完全掌握数据的通讯情况。利
11、用 TCP 数据流中的会话信息,可以很 容易跟踪每个网络会话的整个过程,包括客户端与服务器端之间的请求与响应。连接连接 连接视图显示当前网络活动状态,提供从整体到端点的网络连接情况分析,即时的 TCP 流 重组功能。 连接视图主要提供 TCP 连接,用来显示网络中 TCP 连接的信息,包括成功的、失败的、 活动的、停止的、正在建立的、已建立的、正在关闭的、已关闭的。并在下方的子窗口中 显示当前选定连接的基本通信信息、TCP 数据流重组信息、原始数据包信息、对应的日志 文件。对于每条连接,都可统计其源地址、目标地址、当前状态、协议、该连接收发的数 据包及这些数据包的大小等信息。通过这些信息,我们
12、可以确定出当前网络中 TCP 通讯的 情况,如: 1. 查看两台主机之间的通讯内容; 2. 网络中是否存在 TCP 端口扫描攻击; 3. 网络中是否存在基于 TCP 协议的服务的账户用户名密码破解攻击; 4. 网络中是否存在邮件蠕虫病毒攻击; 5. 网络中是否存在长时间连接且流量小的 TCP 连接 (QQ/MSN 等程序使用 HTTP 代理 即为此现象) 。下方的 TCP 数据流重组,可以方便地得出当前选定连接的原始操作信息, 通过 TCP 连接的原始信息,我们可以确定这些 TCP 通讯的内容、步骤,并断定此连接是 否正常。其界面如图所示。 日志日志 日志视图记录网络中用户的高级网络运用,包括
13、 HTTP 请求 (网页浏览) ,邮件信息 (通 过 SMTP/POP3 进行的邮件收发)以及 FTP 传输 (通过 FTP 进行的数据上传下载) ,并可根据用户的需要将这些日志信息保存到硬盘以备查阅。其界面如图十所示,当前选定的是 HTTP 请求的日志视图。图表图表 图表功能为用户提供 2D 或者 3D 的时间趋势图和数据比较图,可以选择折线图、柱状图、面积图、饼图等多种形式,除了全局图表,也支持每个协议和网络端点的图表数据采集显示。工程设置工程设置 工程设置是对网络分析进行条件设置的地方,用户可以根据分析目的进行有选择的采集数据。工程设置主要包括以下几大类:工程设置常规工程设置常规 这里主
14、要是数据包缓存(Buffer)进行设置,数据包缓存在网络分析中可以起到高速缓冲存储数据的作用。科来网络分析系统会将捕获到的数据包进行分析后,将数据保存在缓冲器中。只有当项目保存时,才将 Buffer 的数据保存在硬盘上。 Buffer 的设置大小取决于所需要数据的多少和计算机内存的大小。Buffer 的大小应该低于一半的可用物理内存,一般开始先使用 16M 的Buffer,如果需要时再增加。 例如: 一个 512M 的管理主机,运行操作系统和分析软件可能会占用 60M 内存,可用物理内存大概为 450M,除去其它的一些应用程序所占内存,可用物理内存大概不到 400M,那么 Buffer 最大的
15、使用内存应该小于 200M。因为 Buffer 是独占使用,所以,我们还是尽量少划分内存作为 Buffer,一般 16M 可以满足大多数情况,流量大时,建议使用 64M 或 96M。 当缓存装满时,可选择以下处理方法: 1. 丢弃最老的数据包 (Ring Buffer) 当被捕捉的数据包数量达到您设定的最大值时,本系统将会丢弃缓存中最早保存的数据包,然后添加新的数据包。 2. 丢弃新捕获的数据包 当被捕捉的数据包数量达到您设定的最大值时,新捕获的数据包将在被分析模块分析后被丢弃而不会被保存在缓存中。 3. 丢弃缓存内所有的数据包 当被捕捉的数据包数量达到您设定的最大值时,本系统将清空缓存然后再
16、添加新的数据包。 4. 停止捕捉数据包 当被捕获的数据包数量达到您设定的最大值时,本系统将停止捕捉和分析数据包,您将不能看到新捕获的数据。 工程设置网络适配器工程设置网络适配器 选择网络适配器,主要是选择数据的采集方式。科来网络分析系统支持以太网、拨号上网、本地环回方式的数据采集,并且也支持多网卡采集,用户可以选择一个网卡或多个网卡来捕获数据包。 科来网络分析系统也能自动识别网卡的传输速度,默认以网卡的速度为网络带宽,用户也可以根据实际情况改变此值。如网卡虽然为 1000M,但内网的网线却是 100M,为了使统计更附合实际,可将带宽改为 100M。 工程设置过滤器工程设置过滤器 通过数据包过滤器列表页面您可以自定义捕捉数据包的过滤器。如果没有设定过滤器,科来网络分析系统将捕捉和分析所有数据包。过滤器在科来网络分析系统 5.0 中被分为简单过滤器和高级过滤器。用户可以通过设置 IP、端口、协议、数据包值等条件来分离数据包。在过滤器列表中,可以通过 “接受”、 “排除”等逻辑关系来组合过
