軟件使用-科來網(wǎng)絡(luò)分析系統(tǒng)5.0使用介紹

1、科來網(wǎng)絡(luò)分析系統(tǒng)5.0使用介紹軟件使用 科來網(wǎng)絡(luò)分析系統(tǒng)5.0使用介紹一、 系統(tǒng)安裝1. 系統(tǒng)需求1) 最小需求· P3 500 CPU · 256 MB 內(nèi)存 · 10M/100M自適應(yīng)網(wǎng)卡· Windows 2000(SP4或SP4更高)，Windows XP(SP1或SP1以上)，Windows 2003 · Internet Explorer 5.5或更高版本2) 推薦需求· P4 2.0G CPU · 512 MB或512 MB以上內(nèi)存· Inter或3COM網(wǎng)卡· Windows 2000(S

2、P4或SP4以上)，Windows XP(SP1或SP1以上)，Windows 2003· Internet Explorer 5.5或更高版本2. 安裝環(huán)境1) 共享式網(wǎng)絡(luò)使用集線器（Hub）作為網(wǎng)絡(luò)中心交換設(shè)備的網(wǎng)絡(luò)即為共享式網(wǎng)絡(luò)，集線器（Hub）以共享模式工作在OSI層次的物理層。如果您局域網(wǎng)的中心交換設(shè)備是集線器（Hub），可將科來網(wǎng)絡(luò)分析系統(tǒng)可安裝在局域網(wǎng)中任意一臺(tái)主機(jī)上，此時(shí)科來網(wǎng)絡(luò)分析系統(tǒng)可以捕獲整個(gè)網(wǎng)絡(luò)中所有的數(shù)據(jù)通訊。2) 交換式網(wǎng)絡(luò)使用交換機(jī)（Switch）作為網(wǎng)絡(luò)的中心交換設(shè)備的網(wǎng)絡(luò)即為交換式網(wǎng)絡(luò)。交換機(jī)（Switch）工作在OSI模型的數(shù)據(jù)鏈接層，交換機(jī)各端口

3、之間能有效地分隔沖突域，由交換機(jī)連接的網(wǎng)絡(luò)會(huì)將整個(gè)網(wǎng)絡(luò)分隔成很多小的網(wǎng)域。如果您局域網(wǎng)的中心交換設(shè)備是交換機(jī)連接（Switch），科來網(wǎng)絡(luò)分析系統(tǒng)的安裝有以下兩種情況：l 交換機(jī)具備鏡像端口功能當(dāng)前網(wǎng)絡(luò)中大多數(shù)三層或三層以上交換機(jī)以及一部分二層交換機(jī)都具備端口鏡像功能，當(dāng)您網(wǎng)絡(luò)中的交換機(jī)此具備功能時(shí)，可在交換機(jī)上配置好端口鏡像（關(guān)于交換機(jī)鏡像端口），再將科來網(wǎng)絡(luò)分析系統(tǒng)可安裝在連接鏡像端口的主機(jī)上即可，此時(shí)科來網(wǎng)絡(luò)分析系統(tǒng)可以捕獲整個(gè)網(wǎng)絡(luò)中所有的數(shù)據(jù)通訊。l 交換機(jī)不具備鏡像端口功能當(dāng)您網(wǎng)絡(luò)中的交換機(jī)不具備端口鏡像功能時(shí)，可通過以下兩種方式實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)數(shù)據(jù)的捕獲。² 串接一個(gè)分路器（T

4、ap）在中大型網(wǎng)絡(luò)中，可在交換機(jī)與網(wǎng)絡(luò)出口設(shè)備（路由器或防火墻）之間串接一個(gè)單端口分路器，并將科來網(wǎng)絡(luò)分析系統(tǒng)安裝在連接此分路器端口的主機(jī)上，此時(shí)科來網(wǎng)絡(luò)分析系統(tǒng)可以捕獲整個(gè)網(wǎng)絡(luò)中的所有進(jìn)出數(shù)據(jù)通訊。² 串接一個(gè)集線器（Hub）在小型網(wǎng)絡(luò)中，可在交換機(jī)與網(wǎng)絡(luò)出口設(shè)備（路由器或防火墻）之間串接一個(gè)集線器（Hub），并將科來網(wǎng)絡(luò)分析系統(tǒng)安裝在連接此集線器任意端口的主機(jī)上，此時(shí)科來網(wǎng)絡(luò)分析系統(tǒng)可以捕獲整個(gè)網(wǎng)絡(luò)中的所有進(jìn)出數(shù)據(jù)通訊。3) 檢測(cè)一個(gè)網(wǎng)段在某些情況下您只需要對(duì)網(wǎng)絡(luò)中某一個(gè)網(wǎng)段（如某一個(gè)部門）的數(shù)據(jù)通訊進(jìn)行捕獲。如果連接此網(wǎng)段的交換機(jī)具備端口鏡像功能，那么可將科來網(wǎng)絡(luò)分析系統(tǒng)安裝在

5、連接此交換機(jī)鏡像端口的主機(jī)上，此時(shí)科來網(wǎng)絡(luò)分析系統(tǒng)可以捕獲此網(wǎng)段主機(jī)的所有數(shù)據(jù)通訊； 如果連接此網(wǎng)段的交換機(jī)不具備鏡像端口功能，那么可在此交換機(jī)與它的上層設(shè)備之間串接一個(gè)集線器或分路器或具備端口鏡像的交換機(jī)，并將科來網(wǎng)絡(luò)分析系統(tǒng)安裝在連接此設(shè)備的主機(jī)上，此時(shí)科來網(wǎng)絡(luò)分析系統(tǒng)可以捕獲此網(wǎng)段主機(jī)的所有進(jìn)出數(shù)據(jù)通訊。注意: 大多數(shù)交換機(jī)端口鏡像的設(shè)置方法都存在差異，如果您在設(shè)置時(shí)遇到困難，可參見交換機(jī)隨機(jī)配套的方盤或說明書，或者訪問<二、 科來網(wǎng)絡(luò)分析系統(tǒng)5.0主要功能介紹1. 界面預(yù)覽安裝好后，雙擊桌面上科來網(wǎng)絡(luò)分析系統(tǒng)的快捷方式，打開系統(tǒng)主界面，輸入產(chǎn)品序列號(hào)和安裝號(hào)（可以先不用激活，不過

6、在未激活只能使用15次），然后單擊主界面工具欄上的“開始”按鈕，科來網(wǎng)絡(luò)分析系統(tǒng)開始捕獲當(dāng)前網(wǎng)絡(luò)中的數(shù)據(jù)通信，并自動(dòng)將當(dāng)前工程文件命令為“工程一”，如圖1所示。（注：在科來網(wǎng)絡(luò)分析系統(tǒng)5.0中，工程是指對(duì)捕獲任務(wù)進(jìn)行設(shè)置和過濾的計(jì)劃安排，同時(shí)也是捕獲數(shù)據(jù)的顯示區(qū)域和容器，并且可將此區(qū)域或容器中的數(shù)據(jù)保存到磁盤。）（圖1科來網(wǎng)絡(luò)分析系統(tǒng)5.0主界面）從圖1中可知，科來網(wǎng)絡(luò)分析系統(tǒng)5.0主界面布局從上到下為標(biāo)題欄、菜單欄、工具欄、主視圖區(qū)和狀態(tài)欄；主視圖區(qū)位于界面的中間部分，它主要由三個(gè)部分組成，左上部的節(jié)點(diǎn)瀏覽器、左下部的工程狀態(tài)欄、右邊的視圖內(nèi)容顯示區(qū)，下面分別對(duì)其進(jìn)行介紹。2. 節(jié)點(diǎn)瀏覽器節(jié)

7、點(diǎn)瀏覽器最大的作用，是能快速定位需要查看的節(jié)點(diǎn)，通過節(jié)點(diǎn)的定位，用戶可以快速準(zhǔn)確地查看該節(jié)點(diǎn)對(duì)應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)通訊。節(jié)點(diǎn)瀏覽器中的節(jié)點(diǎn)類型有三種，協(xié)議、物理端點(diǎn)、IP端點(diǎn)，詳細(xì)介紹如下。 協(xié)議：以樹狀層級(jí)方式顯示出當(dāng)前網(wǎng)絡(luò)中的通訊所使用的協(xié)議，當(dāng)網(wǎng)絡(luò)中出現(xiàn)使用某協(xié)議進(jìn)行通訊的數(shù)據(jù)包時(shí)，系統(tǒng)自動(dòng)將此協(xié)議添加到協(xié)議節(jié)點(diǎn)的相應(yīng)位置。選中某協(xié)議時(shí)，主視圖顯示區(qū)中各視圖均只顯示使用該協(xié)議進(jìn)行通訊的信息。如當(dāng)用戶希望查看訪問互聯(lián)網(wǎng)（默認(rèn)情況下使用標(biāo)準(zhǔn)的HTTP協(xié)議）的信息時(shí)，可通過如圖2的方式對(duì)協(xié)議進(jìn)行定位，此時(shí)，主視圖區(qū)的所有視圖均只顯示網(wǎng)絡(luò)中使用HTTP協(xié)議通訊的信息。另外，使用協(xié)議節(jié)點(diǎn)，還可以有效得出網(wǎng)

8、絡(luò)中正在使用的服務(wù)，從而確定網(wǎng)絡(luò)中是否存在非常用協(xié)議的異常數(shù)據(jù)通訊，如非法ARP攻擊。（圖2節(jié)點(diǎn)瀏覽器的協(xié)議節(jié)點(diǎn)中定位HTTP協(xié)議）IP端點(diǎn)：以樹狀方式顯示當(dāng)前網(wǎng)絡(luò)中的通訊所涉及到的IP地址，IP端點(diǎn)以邏輯IP地址為顯示的依據(jù)，它的下級(jí)分類里常用的有本地子網(wǎng)、私有網(wǎng)絡(luò)、廣播地址、組播地址、Internet地址等，系統(tǒng)捕獲到某個(gè)IP地址時(shí)會(huì)自動(dòng)將其加入到相應(yīng)的分類中。通過IP端點(diǎn)，用戶可以方便地定位一個(gè)網(wǎng)絡(luò)，一個(gè)網(wǎng)段，或一個(gè)IP主機(jī)，定位某個(gè)節(jié)點(diǎn)時(shí)，主視圖顯示區(qū)中各視圖均只顯示與該節(jié)點(diǎn)有關(guān)的數(shù)據(jù)通訊信息。圖3中，將節(jié)點(diǎn)定位在了IP端點(diǎn)下本地子網(wǎng)的/24網(wǎng)段上，此時(shí)主視圖區(qū)的

9、所有視圖均只顯示與/24網(wǎng)段主機(jī)相關(guān)的數(shù)據(jù)通訊信息。另外，使用IP端點(diǎn)節(jié)點(diǎn)，可以有效確定任何網(wǎng)段內(nèi)部主機(jī)間的流量；可以有效得出當(dāng)前網(wǎng)絡(luò)中活動(dòng)的IP主機(jī)，并確定這些活動(dòng)主機(jī)是否正常，即是否為網(wǎng)絡(luò)中不存在的IP主機(jī)（偽造IP），從而確定網(wǎng)絡(luò)中是否存在偽造IP地址的攻擊。（圖3節(jié)點(diǎn)瀏覽器的IP端點(diǎn)中定位/24網(wǎng)段）（圖4節(jié)點(diǎn)瀏覽器的物理端點(diǎn)中定位D-LINK:47:E8:DF主機(jī)）物理端點(diǎn)：以樹狀方式顯示當(dāng)前網(wǎng)絡(luò)中的通訊所涉及到的MAC地址和IP地址，物理端點(diǎn)以網(wǎng)絡(luò)的物理拓?fù)浣Y(jié)構(gòu)為顯示的依據(jù)，它的下級(jí)分類里默認(rèn)有本地網(wǎng)段、網(wǎng)關(guān)、廣播地址、組播地址，系統(tǒng)捕獲

10、到某個(gè)MAC地址或IP地址時(shí)會(huì)自動(dòng)將其加入到相應(yīng)的分類中。通過物理端點(diǎn)，用戶可以方便地定位一個(gè)網(wǎng)絡(luò)，一個(gè)MAC地址（即一塊網(wǎng)卡）或一個(gè)IP主機(jī)，定位某個(gè)節(jié)點(diǎn)時(shí)，主視圖顯示區(qū)中各視圖均只顯示與該節(jié)點(diǎn)有關(guān)的數(shù)據(jù)通訊信息。圖4中，節(jié)點(diǎn)被定位在物理端點(diǎn)下本地網(wǎng)段中MAC地址為D-LINK:47:E8:DF的主機(jī)，此時(shí)主視圖顯示區(qū)的所有視圖均只顯示與D-LINK:47:E8:DF主機(jī)有關(guān)的數(shù)據(jù)通訊信息。另外，使用物理端點(diǎn)節(jié)點(diǎn)，可以有效確定任何網(wǎng)段內(nèi)部主機(jī)間的流量；通過MAC地址與IP地址的對(duì)應(yīng)比較，可以有效確定網(wǎng)絡(luò)中是否存在用戶私自更改IP或MAC的情況，以及網(wǎng)絡(luò)中是否存在偽造IP地址或MAC地址的攻擊

11、。3. 工程狀態(tài)欄主要用于顯示當(dāng)前工程文件的狀態(tài)統(tǒng)計(jì)信息，具體包括數(shù)據(jù)包過濾器、錯(cuò)誤數(shù)據(jù)包、捕獲的數(shù)據(jù)包、丟失的數(shù)據(jù)包、接受的數(shù)據(jù)包、拒絕的數(shù)據(jù)包和緩存使用率，如圖5所示。（圖5 工程狀態(tài)欄）單擊“丟失的數(shù)據(jù)包”、“接受的數(shù)據(jù)包”、“拒絕的數(shù)據(jù)包”、“緩存使用率”，可將其顯示方式在具體值和百分比間切換；雙擊“數(shù)據(jù)包過濾器”、“接受的數(shù)據(jù)包”、“拒絕的數(shù)據(jù)包”可打開過濾器設(shè)置對(duì)話框，雙擊“緩存使用率”將打開常規(guī)設(shè)置對(duì)話框。4. 主視圖顯示區(qū)主視圖顯示區(qū)是系統(tǒng)與用戶最主要的交流平臺(tái)，它最大的作用是顯示網(wǎng)絡(luò)中各種數(shù)據(jù)通訊信息。它包括概要統(tǒng)計(jì)、節(jié)點(diǎn)、協(xié)議、數(shù)據(jù)包、連接、日志、圖表七個(gè)視圖，用以顯示節(jié)點(diǎn)

12、瀏覽器中選定節(jié)點(diǎn)所對(duì)應(yīng)的不同數(shù)據(jù)通訊信息。（注：在節(jié)點(diǎn)瀏覽器中選擇不同節(jié)點(diǎn)時(shí)，各視圖中的數(shù)據(jù)會(huì)發(fā)生相應(yīng)的改變，以下如未明確指明節(jié)點(diǎn)的位置，均表示節(jié)瀏覽器中選定的是根節(jié)點(diǎn)，即當(dāng)前工程名。）概要統(tǒng)計(jì)：概要統(tǒng)計(jì)用來顯示當(dāng)前網(wǎng)絡(luò)通訊的各種信息統(tǒng)計(jì)值，通過這些值，我們可以知道網(wǎng)絡(luò)的流量占用、數(shù)據(jù)包大小分布、錯(cuò)誤包以及TCP連接等信息，具體包括：l 統(tǒng)計(jì)信息：顯示科來網(wǎng)絡(luò)分析系統(tǒng)開始運(yùn)行的日期、時(shí)間，以及持續(xù)運(yùn)行的時(shí)間。l 物理錯(cuò)誤：顯示網(wǎng)絡(luò)中的物理錯(cuò)誤數(shù)據(jù)包數(shù)，包括CRC錯(cuò)誤、對(duì)齊錯(cuò)誤、過大數(shù)據(jù)包錯(cuò)誤和過小數(shù)據(jù)包錯(cuò)誤。如果系統(tǒng)捕獲到網(wǎng)絡(luò)中有較多此類物理錯(cuò)誤的數(shù)據(jù)包，表示當(dāng)前網(wǎng)絡(luò)的物理層可能存在故障，具體

13、可能是由網(wǎng)絡(luò)設(shè)備及線路干擾過大、網(wǎng)線RJ45頭損壞、接觸不良、線路兩端設(shè)備速率不匹配等情況造成。l 802.3錯(cuò)誤：顯示網(wǎng)絡(luò)中IEEE802.3錯(cuò)誤的數(shù)據(jù)包數(shù)，包括802.3一次沖突錯(cuò)誤、802.3多次沖突錯(cuò)誤、802.3最大沖突錯(cuò)誤和802.3延遲發(fā)送錯(cuò)誤。當(dāng)網(wǎng)絡(luò)中出現(xiàn)較多此類物理數(shù)據(jù)包時(shí)，表示網(wǎng)絡(luò)的傳輸存在故障，具體可能是由網(wǎng)絡(luò)阻塞、兩端設(shè)備速率模式不匹配、傳輸線路超出規(guī)定范圍、網(wǎng)絡(luò)設(shè)備（如網(wǎng)卡）硬件錯(cuò)誤等情況造成。l 網(wǎng)絡(luò)流量：顯示網(wǎng)絡(luò)中數(shù)據(jù)通訊的流量占用情況，包括總共流量、廣播流量和組播流量。對(duì)每種流量，又可詳細(xì)統(tǒng)計(jì)出其字節(jié)，數(shù)據(jù)包，每秒數(shù)據(jù)包，利用率等信息，通過這些信息，我們可以知道

14、當(dāng)前網(wǎng)絡(luò)的總體工作狀態(tài)：當(dāng)總共流量的利用率超過50%，表示網(wǎng)絡(luò)的負(fù)載過重；廣播流量或組播流量大于總流量的20%，表示網(wǎng)絡(luò)中可能存在廣播/組播風(fēng)暴或ARP攻擊。l 數(shù)據(jù)包大小分布：顯示網(wǎng)絡(luò)中數(shù)據(jù)包的大小分布情況，不同大小的數(shù)據(jù)包，都可對(duì)其總共字節(jié)、數(shù)據(jù)包數(shù)、每秒數(shù)據(jù)包數(shù)、以及利用率等信息進(jìn)行統(tǒng)計(jì)，通過數(shù)據(jù)包大小分布，可以知道網(wǎng)絡(luò)的通訊質(zhì)量，如當(dāng)<=64或>=1518的數(shù)據(jù)包過多，占用總流量比例過大時(shí)，表示網(wǎng)絡(luò)中可能存在非正常的網(wǎng)絡(luò)通訊，如碎片或數(shù)據(jù)包溢出攻擊。l 最常見的數(shù)據(jù)包大小：顯示網(wǎng)絡(luò)中數(shù)量最多的數(shù)據(jù)包的大小以及這些數(shù)據(jù)包的流量占用情況，包括這些數(shù)據(jù)包的個(gè)數(shù)，占用字節(jié)數(shù)，每秒數(shù)

15、據(jù)包數(shù)以及利用率等信息。通過這些信息，我們可以知道當(dāng)前網(wǎng)絡(luò)通訊中最多的數(shù)據(jù)包是什么，并判定其相應(yīng)的服務(wù)，如1518和64字節(jié)左右的數(shù)據(jù)包排在前兩位，表示網(wǎng)絡(luò)中可能存在大文件的上傳下載操作；另外，如網(wǎng)絡(luò)中某固定大小的數(shù)據(jù)包占用流量及利用率均很高，表示網(wǎng)絡(luò)中可能存在DOS/DDOS/DRDOS攻擊。l TCP數(shù)據(jù)包：顯示網(wǎng)絡(luò)中的TCP數(shù)據(jù)包數(shù)，包括TCP同步數(shù)據(jù)包、TCP結(jié)束連接數(shù)據(jù)包、TCP復(fù)位數(shù)據(jù)包、TCP錯(cuò)誤檢驗(yàn)和數(shù)據(jù)包、TCP重傳數(shù)據(jù)包以及TCP零窗口數(shù)據(jù)包，對(duì)每一種TCP數(shù)據(jù)包，都可以顯示出其占用字節(jié)數(shù)，數(shù)據(jù)包個(gè)數(shù)，每秒數(shù)據(jù)包數(shù)以及利用率等信息，通過這些信息，可以知道網(wǎng)絡(luò)中的通訊是否正常

16、。如TCP同步數(shù)據(jù)包和TCP復(fù)位數(shù)據(jù)包大大超過其他類型數(shù)據(jù)包時(shí)，表示網(wǎng)絡(luò)中可能有掃描器在工作，或者網(wǎng)絡(luò)中有主機(jī)正在被掃描攻擊；當(dāng)TCP重傳數(shù)據(jù)包過多時(shí)，則表示網(wǎng)絡(luò)的通訊質(zhì)量極低，可能存在環(huán)路現(xiàn)象；當(dāng)TCP零窗口數(shù)據(jù)包較多時(shí)，表示對(duì)端主機(jī)當(dāng)前無法接受數(shù)據(jù)，對(duì)方主機(jī)系統(tǒng)可能存在故障。l TCP連接：顯示網(wǎng)絡(luò)中的TCP連接數(shù)，可統(tǒng)計(jì)出初始化的TCP連接數(shù)、成功建立的TCP連接數(shù)、拒絕的TCP連接數(shù)和復(fù)位的TCP連接數(shù)。通過對(duì)這些信息的統(tǒng)計(jì)，我們可以知道網(wǎng)絡(luò)中的TCP通信是否正常，如初始化的TCP連接數(shù)較多，而成功建立的TCP連接數(shù)很少時(shí)，表示網(wǎng)絡(luò)中的主機(jī)可能感染病毒，且此病毒正在試圖連接其他主機(jī)的某

17、些TCP端口以進(jìn)行感染；拒絕的TCP連接數(shù)較多時(shí)，表示網(wǎng)絡(luò)可可能存在端口掃描攻擊或用戶名密碼破解攻擊。l SMTP分析：顯示使用SMTP協(xié)議進(jìn)行郵件發(fā)送的信息，包括建立的SMTP連接數(shù)，失敗的SMTP連接數(shù)、服務(wù)器應(yīng)答錯(cuò)誤數(shù)，以及發(fā)送的郵件數(shù)等等。通過這些數(shù)據(jù)，我們可以確定網(wǎng)絡(luò)中的郵件發(fā)送是否正常，如網(wǎng)絡(luò)中的SMTP服務(wù)器工作是否正常（包括工作效率）；網(wǎng)絡(luò)中的SMTP服務(wù)器是否可能被黑客控制，正被用于處理垃圾郵件；網(wǎng)絡(luò)中是否存在感染蠕蟲病毒的主機(jī)；網(wǎng)絡(luò)中是否存在破解郵箱用戶名密碼的情況。l POP3分析：顯示使用POP3協(xié)議進(jìn)行郵件接收的信息，包括建立的POP3連接數(shù)，失敗的POP3連接數(shù)、服

18、務(wù)器返回錯(cuò)誤數(shù)，以及接收的郵件數(shù)等等。通過這些數(shù)據(jù)，我們可以確定網(wǎng)絡(luò)中的郵件接收是否正常，如郵件的POP3服務(wù)器是否正常工作（包括其工作效率）；網(wǎng)絡(luò)中是否存在破解郵箱用戶名密碼的情況。l FTP分析：顯示網(wǎng)絡(luò)中FTP傳輸數(shù)據(jù)包的統(tǒng)計(jì)信息，包括FTP控制連接數(shù)、登錄失敗次數(shù)、成功的數(shù)據(jù)連接數(shù)、以及訪問的服務(wù)器數(shù)等。通過這些信息，我們可以確定網(wǎng)絡(luò)中進(jìn)行FTP數(shù)據(jù)上傳下載的情況，包括FTP服務(wù)器的數(shù)據(jù)是否被未被允許的上傳下載，網(wǎng)絡(luò)中是否存在FTP賬戶的用戶名密碼的情況，以及對(duì)上傳下載的數(shù)據(jù)進(jìn)行統(tǒng)計(jì)。l HTTP分析：顯示網(wǎng)絡(luò)中上網(wǎng)的統(tǒng)計(jì)信息，包括HTTP連接數(shù)、HTTP請(qǐng)求數(shù)、通過HTTP端口傳輸非

19、HTTP數(shù)據(jù)的連接數(shù)、訪問過的HTTP服務(wù)器數(shù)等。通過這些信息，我們可以對(duì)網(wǎng)絡(luò)中的網(wǎng)頁瀏覽進(jìn)行統(tǒng)計(jì)，并確定網(wǎng)絡(luò)中是否存在使用HTTP代理的程序，如通過HTTP端口傳輸非HTTP數(shù)據(jù)的連接數(shù)較大時(shí)，說明網(wǎng)絡(luò)中可能正在運(yùn)行使用HTTP代理服務(wù)器工作的程序，如QQ、MSN等P2P軟件。端點(diǎn)：端點(diǎn)視圖可以有效顯示出當(dāng)前網(wǎng)絡(luò)通訊所涉及到的節(jié)點(diǎn)情況，有All、Physical、IP三種端點(diǎn)類型，如圖6所示，當(dāng)前選定的類型為All。（圖6端點(diǎn)視圖）從上圖可以清楚地得出當(dāng)前網(wǎng)絡(luò)中所有主機(jī)（包括一個(gè)網(wǎng)段、一個(gè)物理MAC地址、一個(gè)IP）的具體流量占用情況，如總流量最大的主機(jī)、發(fā)送流量最大的主機(jī)、接收流量最大的主機(jī)

20、、收發(fā)數(shù)據(jù)包數(shù)最多的主機(jī)、發(fā)送數(shù)據(jù)包最多的主機(jī)、接收數(shù)據(jù)包最多的主機(jī)、內(nèi)部流量、以及廣播流量最大的主機(jī)等信息。通過這些信息，我們可以確定網(wǎng)絡(luò)中是否廣播/組播風(fēng)暴，并幫助用戶排查網(wǎng)絡(luò)速度慢、網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)、蠕蟲病毒攻擊、DOS攻擊、以及用戶無法上網(wǎng)等網(wǎng)絡(luò)故障。協(xié)議：協(xié)議視圖可以有效顯示網(wǎng)絡(luò)中數(shù)據(jù)通訊所使用的協(xié)議，協(xié)議采用樹狀層級(jí)方式顯示，對(duì)每一種協(xié)議，都對(duì)其占用的流量、使用此協(xié)議的數(shù)據(jù)包個(gè)數(shù)、此協(xié)議的流量在總流量中的百分比、以及使用此協(xié)議的數(shù)據(jù)包在總數(shù)據(jù)包中的百分比進(jìn)行了統(tǒng)計(jì)，如圖7所示。通過協(xié)議視圖對(duì)各視圖占用流量及百分比的統(tǒng)計(jì)，用戶可以得出當(dāng)前網(wǎng)絡(luò)中占用流量最多的協(xié)議，即當(dāng)前網(wǎng)絡(luò)中占用流量最多

21、的服務(wù)類型，并幫助用戶排查網(wǎng)絡(luò)速度慢、郵件蠕蟲病毒攻擊、網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)以及用戶無法上網(wǎng)等網(wǎng)絡(luò)故障。（注：查看協(xié)議占用的比例時(shí)，需對(duì)應(yīng)科來網(wǎng)絡(luò)分析系統(tǒng)協(xié)議列表中各層次的協(xié)議關(guān)系，在同級(jí)協(xié)議之間比較，如TCP與UDP，HTTP與SMTP等，如果使用TCP與DNS等不同級(jí)的協(xié)議進(jìn)行比較，得出的結(jié)果將不準(zhǔn)確。）（圖7協(xié)議視圖）數(shù)據(jù)包：數(shù)據(jù)包視圖用來顯示網(wǎng)絡(luò)中數(shù)據(jù)通訊的原始信息，對(duì)其進(jìn)行原始解碼分析，它包括數(shù)據(jù)包顯示區(qū)和下方的解碼視圖區(qū)，解碼的內(nèi)容包括數(shù)據(jù)包所有層次的信息。通過解碼信息，我們可以知道，網(wǎng)絡(luò)中的數(shù)據(jù)包的類型、網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包是否正確、網(wǎng)絡(luò)中IP數(shù)據(jù)包的版本；并確定目標(biāo)主機(jī)是否在運(yùn)行客戶端主

22、機(jī)所請(qǐng)求的服務(wù)、源主機(jī)到目標(biāo)主機(jī)間的路由時(shí)間（即鏈路長度）、目標(biāo)主機(jī)對(duì)客戶端主機(jī)請(qǐng)求的服務(wù)的響應(yīng)時(shí)間、網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)是否為緊急數(shù)據(jù)、數(shù)據(jù)包在網(wǎng)絡(luò)中經(jīng)過的路由跳數(shù)、網(wǎng)絡(luò)中是否存在環(huán)路現(xiàn)象、以及用戶訪問目標(biāo)主機(jī)某服務(wù)的原始步驟等等。其界面如圖8所示。（圖8數(shù)據(jù)包視圖）連接：連接視圖專指TCP連接，用來顯示網(wǎng)絡(luò)中TCP連接的信息，包括成功的、失敗的、活動(dòng)的、停止的、正在建立的、已建立的、正在關(guān)閉的、已關(guān)閉的。并在下方的子窗口中顯示當(dāng)前選定連接的基本通信信息、TCP數(shù)據(jù)流重組信息、原始數(shù)據(jù)包信息、對(duì)應(yīng)的日志文件。對(duì)于每條連接，都可統(tǒng)計(jì)其源地址、目標(biāo)地址、當(dāng)前狀態(tài)、協(xié)議、該連接收發(fā)的數(shù)據(jù)包及這些數(shù)據(jù)包

23、的大小等信息。通過這些信息，我們可以確定出當(dāng)前網(wǎng)絡(luò)中TCP通訊的情況，如查看兩臺(tái)主機(jī)之間的通訊內(nèi)容、網(wǎng)絡(luò)中是否存在TCP端口掃描攻擊、網(wǎng)絡(luò)中是否存在基于TCP協(xié)議的服務(wù)的賬戶用戶名密碼破解攻擊、網(wǎng)絡(luò)中是否存在郵件蠕蟲病毒攻擊、網(wǎng)絡(luò)中是否存在長時(shí)間連接且流量小的TCP連接（QQ/MSN等程序使用HTTP代理即為此現(xiàn)象）；下方的TCP數(shù)據(jù)流重組，可以方便地得出當(dāng)前選定連接的原始操作信息，通過 TCP連接的原始信息，我們可以確定這些TCP通訊的內(nèi)容、步驟，并斷定此連接是否正常。其界面如圖9所示，圖中顯示的內(nèi)容表示當(dāng)前的連接是一個(gè)通過HTTP協(xié)議訪問網(wǎng)頁的情況。（圖9連接視圖）日志：日志視圖記錄網(wǎng)絡(luò)中

24、用戶的高級(jí)網(wǎng)絡(luò)運(yùn)用，包括HTTP請(qǐng)求（網(wǎng)頁瀏覽），郵件信息（通過SMTP/POP3進(jìn)行的郵件收發(fā)）以及FTP傳輸（通過FTP進(jìn)行的數(shù)據(jù)上傳下載），并可根據(jù)用戶的需要將這些日志信息保存到硬盤以備查閱。其界面如圖10所示，當(dāng)前選定的是HTTP請(qǐng)求的日志視圖。（圖10日志視圖）在HTTP請(qǐng)求日志視圖中，每條日志均表示由用戶發(fā)起的一個(gè)HTTP請(qǐng)求，對(duì)于日志信息，系統(tǒng)可以捕獲并統(tǒng)計(jì)出其對(duì)應(yīng)的客戶端地址、服務(wù)端地址、請(qǐng)求網(wǎng)址、請(qǐng)求方法、服務(wù)器響應(yīng)、服務(wù)器返回的狀態(tài)碼、以及這條日志所持續(xù)的時(shí)間等信息。通過這些信息，我們可以有效查看網(wǎng)絡(luò)中所有用戶或者指定某用戶的網(wǎng)頁瀏覽情況（包括請(qǐng)求/被請(qǐng)求的網(wǎng)址信息，以及訪

25、問的頻率），從而確定網(wǎng)絡(luò)中是否存在惡意網(wǎng)頁訪問（攻擊Web服務(wù)器80端口）、以及Web服務(wù)器的工作狀態(tài)是否正常。在郵件信息日志視圖中，每條日志均表示用戶通過SMTP/POP3協(xié)議成功進(jìn)行的郵件收發(fā)操作，對(duì)于每條日志信息，可以捕獲并統(tǒng)計(jì)出其對(duì)應(yīng)客戶端地址、服務(wù)端地址、郵件發(fā)送者及其郵件地址、郵件接收者及其郵件地址、郵件抄送者、郵件客戶端軟件、郵件內(nèi)容的大小、郵件是否攜帶附件、以及這條日志對(duì)應(yīng)操作的精確時(shí)間。通過這些信息，我們可以有效查看網(wǎng)絡(luò)中所有用戶或指定用戶的郵件收發(fā)情況，從而確定網(wǎng)絡(luò)中的郵件收發(fā)是否正常、是否存在郵件蠕蟲病毒攻擊、是否存在對(duì)郵件服務(wù)器的攻擊等情況。在FTP傳輸日志視圖中，每條

26、日志均表示用戶從FTP服務(wù)器上傳/下載一個(gè)文件的操作。對(duì)于每條日志信息，可以捕獲并統(tǒng)計(jì)出其對(duì)應(yīng)客戶端地址、服務(wù)器端地址、賬號(hào)信息、操作類型（上傳或下載）、傳輸模式（主動(dòng)或被動(dòng)）、傳輸?shù)目傋止?jié)數(shù)和總包數(shù)等信息。通過這些信息，我們可以有效查看網(wǎng)絡(luò)中的FTP文件傳輸情況，從而確定網(wǎng)絡(luò)中的FTP傳輸是否正常、網(wǎng)絡(luò)中是否存在FTP攻擊（攻擊相應(yīng)主機(jī)后通過FTP方式對(duì)其進(jìn)行上傳下載文件的操作）等情況。圖表：圖表視圖的內(nèi)容與統(tǒng)計(jì)概要的內(nèi)容相同，它使用圖表方式形象地顯示當(dāng)前的網(wǎng)絡(luò)通訊情況，包括錯(cuò)誤數(shù)據(jù)包、常規(guī)、TCP分析、郵件分析、FTP分析和HTTP分析子項(xiàng)，每個(gè)子項(xiàng)中都可通過不同顯示時(shí)間以及不同圖表類型等

27、情況進(jìn)行顯示。其界面如圖11所示，圖中顯示的是數(shù)據(jù)包大小分布情況。（圖11圖表視圖）錯(cuò)誤數(shù)據(jù)包：包括物理錯(cuò)誤包的統(tǒng)計(jì)信息、802.3錯(cuò)誤包的統(tǒng)計(jì)信息、以及錯(cuò)誤包與正常包的對(duì)比信息。通過這些信息，我們可以確定網(wǎng)絡(luò)的工作狀態(tài)是否合理、網(wǎng)絡(luò)的鏈路層是否存在故障、網(wǎng)絡(luò)的傳輸是否存在故障、網(wǎng)絡(luò)設(shè)備（如網(wǎng)卡）是否存在硬件錯(cuò)誤、傳輸線路是否超過規(guī)定范圍、網(wǎng)絡(luò)對(duì)端設(shè)備的速率是否匹配、線路干擾是否過大等情況。常規(guī)：對(duì)網(wǎng)絡(luò)整體或用戶選定節(jié)點(diǎn)的常規(guī)信息進(jìn)行統(tǒng)計(jì)并以圖表顯示，包括網(wǎng)絡(luò)利用率、數(shù)據(jù)包數(shù)量、數(shù)據(jù)包大小分布等情況，通過這些信息，我們可以確定網(wǎng)絡(luò)或用戶選定節(jié)點(diǎn)的主機(jī)的工作狀態(tài)是否過于繁忙、網(wǎng)絡(luò)中是否可能存在網(wǎng)

28、絡(luò)攻擊、網(wǎng)絡(luò)中數(shù)據(jù)包的增長趨勢(shì)圖等情況。TCP分析：對(duì)網(wǎng)絡(luò)中的TCP連接進(jìn)行統(tǒng)計(jì)并以圖表方式顯示，包括TCP連接、TCP數(shù)據(jù)包、TCP同步包、結(jié)束包和復(fù)位包等信息。通過這些信息，我們可以確定網(wǎng)絡(luò)內(nèi)TCP數(shù)據(jù)包的傳輸質(zhì)量、網(wǎng)絡(luò)中是否存在自動(dòng)運(yùn)行的重傳攻擊、是否存在端口掃描攻擊等信息。郵件分析：對(duì)網(wǎng)絡(luò)中的郵件收發(fā)信息進(jìn)行統(tǒng)計(jì)并以圖表方式顯示，通過此表，我們可以確定網(wǎng)絡(luò)中發(fā)送與接收郵件的數(shù)量、比例，并幫助用戶判斷網(wǎng)絡(luò)中是否有被郵件病毒感染并發(fā)起郵件蠕蟲病毒攻擊的主機(jī)。FTP分析：對(duì)網(wǎng)絡(luò)中的FTP數(shù)據(jù)傳輸信息進(jìn)行統(tǒng)計(jì)并以圖表方式顯示，通過此表，我們可以確定網(wǎng)絡(luò)中通過FTP進(jìn)行上傳或下載的文件的數(shù)量、比

29、例，并幫助用戶判斷網(wǎng)絡(luò)中的FTP上傳下載是否正常。HTTP分析：對(duì)網(wǎng)絡(luò)中的HTTP網(wǎng)頁訪問信息進(jìn)行統(tǒng)計(jì)并以圖表方式顯示，通過此表，我們可以確定網(wǎng)絡(luò)中HTTP請(qǐng)求（網(wǎng)頁訪問）的數(shù)量、增長趨勢(shì)，并幫助用戶判斷網(wǎng)絡(luò)中的網(wǎng)頁訪問是否正常。5. 報(bào)表科來網(wǎng)絡(luò)分析系統(tǒng)提供的報(bào)表功能可以將網(wǎng)絡(luò)中的各種信息輸出為html格式的報(bào)表文件，其中報(bào)表包括的內(nèi)容有概要統(tǒng)計(jì)視圖的內(nèi)容、協(xié)議統(tǒng)計(jì)視圖的內(nèi)容、TOP 10的物理地址、TOP 10的IP地址、TOP 10的本地IP地址、TOP 10的遠(yuǎn)程IP地址、以及圖表視圖的內(nèi)容。三、 科來網(wǎng)絡(luò)分析系統(tǒng)5.0主要數(shù)據(jù)及數(shù)據(jù)的分析利用科來網(wǎng)絡(luò)分析系統(tǒng)5.0中的主要數(shù)據(jù)及數(shù)據(jù)對(duì)

30、應(yīng)的分析利用簡表如表1所示。節(jié)點(diǎn)瀏覽器主要數(shù)據(jù)區(qū)數(shù)據(jù)內(nèi)容數(shù)據(jù)分析利用協(xié)議樹狀層級(jí)方式顯示網(wǎng)絡(luò)中通訊使用的協(xié)議有效查看網(wǎng)絡(luò)中使用的服務(wù)；確定網(wǎng)絡(luò)中是否存在異常數(shù)據(jù)通訊；確定網(wǎng)絡(luò)中是否存在異常攻擊（如ARP攻擊）；IP端點(diǎn)樹狀方式顯示當(dāng)前網(wǎng)絡(luò)中通訊所涉及到的IP地址查看網(wǎng)段內(nèi)部主機(jī)間的流量；確定網(wǎng)絡(luò)中活動(dòng)的IP主機(jī)；確定活動(dòng)主機(jī)工作是否正常；確定是否存在偽造IP地址的攻擊；物理端點(diǎn)樹狀方式顯示當(dāng)前網(wǎng)絡(luò)中通訊所涉及到的MAC地址和IP地址查看網(wǎng)段內(nèi)部主機(jī)間的流量；確定網(wǎng)絡(luò)中是否存在非法更改IP/MAC的情況；確定網(wǎng)絡(luò)中是否存在偽造IP/MAC地址的攻擊；概要統(tǒng)計(jì)視圖主要數(shù)據(jù)區(qū)數(shù)據(jù)內(nèi)容數(shù)據(jù)分析利用物理

31、錯(cuò)誤CRC錯(cuò)誤重組錯(cuò)誤過大數(shù)據(jù)包過小數(shù)據(jù)包網(wǎng)絡(luò)中出現(xiàn)較多此類物理錯(cuò)誤的數(shù)據(jù)包時(shí)，表示網(wǎng)絡(luò)的物理層存在故障，具體可能是網(wǎng)絡(luò)設(shè)備及線路干擾過大、網(wǎng)線RJ45頭損壞、接觸不良、線路兩端設(shè)備速率不匹配等。802.3錯(cuò)誤一次沖突錯(cuò)誤多次沖突錯(cuò)誤最大沖突錯(cuò)誤延遲沖突錯(cuò)誤網(wǎng)絡(luò)中出現(xiàn)較多此類錯(cuò)誤數(shù)據(jù)包時(shí)，表示網(wǎng)絡(luò)的傳輸存在故障，具體可能是由網(wǎng)絡(luò)阻塞、兩端設(shè)備速率模式不匹配、傳輸線路超出規(guī)定范圍、網(wǎng)絡(luò)設(shè)備（如網(wǎng)卡）硬件錯(cuò)誤等情況造成。網(wǎng)絡(luò)流量總共流量廣播流量組播流量得出網(wǎng)絡(luò)的總體工作狀態(tài)，如總共流量的利用率超過50%，表示網(wǎng)絡(luò)的負(fù)載過重；廣播流量或組播流量大于總流量的20%，表示網(wǎng)絡(luò)中可能存在廣播/組播風(fēng)暴或A

32、RP攻擊。數(shù)據(jù)包大小分布網(wǎng)絡(luò)中不同大小數(shù)據(jù)包分布情況確定網(wǎng)絡(luò)的通訊質(zhì)量；確定網(wǎng)絡(luò)中是否存在碎片或溢出攻擊等非正常訪問。最常見的數(shù)據(jù)包大小網(wǎng)絡(luò)中數(shù)量最多的數(shù)據(jù)包TOP10確定網(wǎng)絡(luò)中使用最頻繁的服務(wù)；確定網(wǎng)絡(luò)中是否可能存在DOS/DDOS/DRDOS攻擊。TCP數(shù)據(jù)包TCP同步數(shù)據(jù)包TCP結(jié)束連接數(shù)據(jù)包TCP復(fù)位數(shù)據(jù)包TCP錯(cuò)誤檢驗(yàn)和數(shù)據(jù)包TCP重傳數(shù)據(jù)包TCP零窗口數(shù)據(jù)包確定網(wǎng)絡(luò)中是否有掃描器在工作或是否有主機(jī)被掃描攻擊；確定網(wǎng)絡(luò)的通訊質(zhì)量；確定中是否存在環(huán)路故障；確定對(duì)端主機(jī)是否存在故障。TCP連接初始化的TCP連接數(shù)成功建立的TCP連接數(shù)拒絕的TCP連接數(shù)復(fù)位的TCP連接數(shù)確定網(wǎng)絡(luò)中的TCP

33、通信是否正常；確定網(wǎng)絡(luò)中是否有主機(jī)感染病毒；確定網(wǎng)絡(luò)中存在端口掃描攻擊或用戶名密碼破解攻擊；SMTP分析使用SMTP協(xié)議進(jìn)行郵件發(fā)送的信息確定網(wǎng)絡(luò)中的郵件發(fā)送是否正常；確定網(wǎng)絡(luò)中的SMTP服務(wù)器工作是否正常；確定網(wǎng)絡(luò)中是否存在感染蠕蟲病毒的主機(jī)；網(wǎng)絡(luò)中是否存在破解郵箱用戶名密碼的情況。POP3分析使用POP3協(xié)議進(jìn)行郵件接收的信息確定網(wǎng)絡(luò)中的郵件接收是否正常；郵件的POP3服務(wù)器是否正常工作；網(wǎng)絡(luò)中是否存在破解郵箱用戶名密碼的情況。FTP分析使用FTP進(jìn)行文件上傳下載的信息統(tǒng)計(jì)上傳下載的數(shù)據(jù)；確定網(wǎng)絡(luò)中FTP服務(wù)器的數(shù)據(jù)是否被未被允許的上傳下載；確定網(wǎng)絡(luò)中是否存在確解FTP賬戶的用戶名密碼情況

34、。HTTP分析使用HTTP訪問網(wǎng)頁的信息對(duì)網(wǎng)絡(luò)中的網(wǎng)頁瀏覽進(jìn)行統(tǒng)計(jì)；確定網(wǎng)絡(luò)中是否存在使用HTTP代理的程序，如QQ、MSN等P2P軟件。端點(diǎn)視圖主要數(shù)據(jù)區(qū)數(shù)據(jù)內(nèi)容數(shù)據(jù)分析利用All/Physical/IP三種端點(diǎn)數(shù)據(jù)網(wǎng)絡(luò)中所有主機(jī)的占用情況總流量最大的主機(jī)發(fā)送流量最大的主機(jī)接收流量最大的主機(jī)收發(fā)數(shù)據(jù)包數(shù)最多的主機(jī)發(fā)送數(shù)據(jù)包最多的主機(jī)接收數(shù)據(jù)包最多的主機(jī)內(nèi)部流量廣播流量最大的主機(jī)確定網(wǎng)絡(luò)中是否廣播/組播風(fēng)暴；幫助排查網(wǎng)絡(luò)速度慢故障；幫助排查網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)故障；幫助查找用戶無法上網(wǎng)故障；幫助查找蠕蟲病毒攻擊；幫助查找DOS攻擊；協(xié)議視圖主要數(shù)據(jù)區(qū)數(shù)據(jù)內(nèi)容數(shù)據(jù)分析利用協(xié)議數(shù)據(jù)占用的流量使用此協(xié)議的數(shù)據(jù)包數(shù)流量在總流量中的百分比數(shù)據(jù)包在總數(shù)據(jù)包中的百分比查看網(wǎng)絡(luò)中各協(xié)議的流量占用及百分比占用；確定網(wǎng)絡(luò)中占用流量最多的服務(wù)類型；幫助排查網(wǎng)絡(luò)速度慢；幫助排查郵件蠕蟲病毒攻擊；幫助排查網(wǎng)絡(luò)時(shí)斷時(shí)續(xù)故障；幫助排查內(nèi)無法上網(wǎng)等網(wǎng)絡(luò)故障。數(shù)據(jù)包視圖主要數(shù)據(jù)區(qū)數(shù)據(jù)內(nèi)容數(shù)據(jù)分析利用原始數(shù)據(jù)包數(shù)據(jù)包列表數(shù)據(jù)包解碼查看網(wǎng)絡(luò)中的數(shù)據(jù)包的類型；確定網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包是否正確；確定目標(biāo)主機(jī)是否運(yùn)行客戶端主機(jī)所請(qǐng)求的服務(wù)；查看源主機(jī)到目標(biāo)主機(jī)間的路由時(shí)間（即鏈路長度）；查看目標(biāo)主機(jī)對(duì)客戶端主機(jī)