一款秒杀wireshark和burpsuite的国产网络分析神器,你还没用过?

信息安全 专栏收录该内容
50 篇文章 15 订阅

一款秒杀wireshark和burpsuite的国产网络分析神器,你还没用过?

简介

我也是最近在机缘巧合之下才遇到的这款神器,原本是想找WireShark相关的资料给学弟用的,结果却意外的发现了这款科来网络分析系统,这款软件是绿色免费的,无需注册无需激活,下载就能用,那接下来就来介绍一下这款网络分析系统吧。
先放两张图
在这里插入图片描述

在这里插入图片描述

下载

方法一:
你可以直接百度搜索“科来网络分析系统”。
在这里插入图片描述

然后选中这个标签。
在这里插入图片描述进入如下页面。
在这里插入图片描述
在这里插入图片描述下拉页面来到这里。

在这里插入图片描述选择下载通道,看清硬件要求,就可以点击下载了,这里我选择的是第一个通道,官网下载通道。
在这里插入图片描述

方法二:
当然你可以直接点点击我下面的这个链接直接进入到下载页面。
科来首页
进入到如下界面。

在这里插入图片描述点击下载中心,选择左侧的软件下载类目下的第一个“科来网络分析系统(技术交流版)”。
在这里插入图片描述接下来的操作与方法一相同,请往上翻。

安装

点击下载之后找到所下载文件的保存路径。建议大家安装软件的视口专门建一个文件夹,这样便于管理和卸载。(上边两个文件夹是我安装好之后的)
在这里插入图片描述

这个下载下来的是.rar格式的压缩包,最好准备一个能打开此格式文件的解压软件。(我用的是Bandzip,这款解压软件非常好用,简洁但不简单,可直接去百度搜索下载,之前是没广告的,现在有一点广告,不过可以去搜一下序列码用。)

在这里插入图片描述打开压缩包,里边是一个.exe的程序,双击此文件开始安装。

在这里插入图片描述
直接下一步
然后选接受,再下一步
在这里插入图片描述
下一步

在这里插入图片描述
选择一个安装路径,这里建议专门为软件创立独立的文件夹,方便管理。
在这里插入图片描述
根据自己的需要勾选相关组件,然后下一步
在这里插入图片描述继续下一步

在这里插入图片描述

下一步
在这里插入图片描述
点击安装
在这里插入图片描述等待进度条跑完

在这里插入图片描述
还是下一步
在这里插入图片描述
ok,到这里就安装完成了。
在这里插入图片描述
然后会自动打开,进入软件。
在这里插入图片描述

使用

首页是做了一个资讯,是科来的网络分析博客平台的文章推荐。
在这里插入图片描述
点击实时分析,这里就是我们常用的网络分析界面,他是图形化更直观的设计,更利于初学者理解和掌握报文段构造。
在这里插入图片描述
下边放两张抓包分析界面图
在这里插入图片描述
在这里插入图片描述
怎么样,跟WireShark、Burpsuite、sniffer比起来是不是很有兴趣。
别着急,下边是入门手册。此手册在下载通道上方可下载。
在这里插入图片描述

入门详细指南

1 前言

网络分析是一门非常专业的技术,不仅需要网络分析工程师具备相当的网络知识,
并且对网络分析软件使用的熟悉程度,也在很大程度上决定着网络故障排查的效率
性和准确性。“工欲善其事,必先利其器”,要做好网络分析,应该首先熟悉网络
分析软件的使用。对于初次使用网络分析软件的用户,可能就会存在许多疑问:怎
样使用网络分析软件捕获数据、通过网络分析软件能分析到什么信息,这些信息能
帮助我们做些什么,我们如何使用这些数据信息等等问题。因此,针对初次接触科
来网络分析系统的用户,我们制作了快速入门指南,对科来网络分析系统的使用进
行了简单介绍,希望对初次使用该系统的用户有所帮助。
科来网络分析系统是科来全新打造的网络分析系统,采用了全自主研发的第二代网
络分析引擎,提供海量数据采集和高性能实时诊断分析,并且采用了全新的 UI 界
面设计和新的分析理念。因此,熟练使用科来网络分析系统,将会大大提高用户的
网络分析效率。

2 分析引导

科来网络分析系统引入了分析模式、网络档案和分析方案概念。打开系统,主界面
如下图所示:
在这里插入图片描述

在系统的分析引导界面中,提供了分析模式选择、网络适配器选择,网络档案选择,
分析方案选择以及分析方案设置等分析前的常规设置。用户可以根据实际的分析任
务选择,新建或编辑相应的网络档案和分析方案。

2.1 分析模式

  • 实时分析
    实时分析以网络适配器作为数据采集来源,实时捕获网络通讯的数据包,并提供实
    时分析、实时诊断、实时报警等。
  • 回放分析
    回放分析以数据包存储文件作为第二分析数据源,提供历史问题回溯分析,并支持
    原速和快速两种回放模式。

2.2 选择网络适配器

系统能够自动检测和显示当前的网络适配器及其 IP 地址、每秒数据包数,并图形
化的显示当前网络适配器的流量趋势,您可以根据实际情况选择用于采集数据的网
络适配器。系统支持多网卡的数据采集,您可以同时选择多块网卡进行数据源的采
集。

2.3 过滤器

过滤器可以按照您的需求来捕获数据,如果您需要捕获和分析特定的数据信息,您
可以设置过滤器,以排除不需要的数据。合理的设置过滤器不仅能够提高您的分析
效率,而且也能提高系统的分析性能。
开始数据捕获前,双击分析方案或单击分析方案右键菜单,可进行数据捕捉过滤器
设置。

2.4 媒介类型

开始分析前,您可以在系统引导界面的配置信息区,设置媒介类型。
系统科来网络分析系统默认提供了几种常见的媒介类型。您可以根据实际网络中使
用的通信机制不同,选择不同的传输媒介。如:Ethernet,802.11,Token Ring,
Raw IP,Cisco HDLC,PPP for POS,Cisco Fabric Path(CFP)。
每个分析工程可以选择一种媒介类型,系统默认为 Ethernet。选择媒介类型后,系
统会根据选定媒介类型的协议规则对采集到的网络流量进行分析、统计和解码。

注意:媒介类型选择错误,会导致系统无法分析和统计出正确的网络通信情况。

2.5 网络档案

科来网络分析系统提出了全新的网络档案概念。网络档案用于保存某个特定网络的
分析配置信息,包括该网络的带宽,内部网络节点的分组配置,对应的名字表以及
针对该网络的警报设置。
如果你使用科来网络分析系统在不同的网络位置进行实时抓包分析,你可以为每个
网络创建对应的网络档案。当回放一个或者多个来自外部网络的数据包文件时,你
也可以为其创建专门的网络档案,更有效更准确的分析相应的流量数据。
在这里插入图片描述
系统默认提供了 4 个网络档案配置文件,用户可选择其中一个开始网络分析任务。
在实际的网络环境中,用户可以自定义配置和保存网络档案,以此保存网络环境中
的各项关键数据信息。此外,您可以单击右键进行添加、编辑、删除或者复制网络
档案,在后续的分析任务中,可直接调用新的网络档案进行分析。

2.6 分析方案

分析方案用于保存某个特定分析需求的配置信息,包括分析引擎的参数配置、加载
的高级分析模块以及每个高级分析模块的详细参数设置。
科来网络分析系统针对典型的分析使用场景内建了若干的分析方案供用户选择,每
个分析方案对应一个特定的分析需求。
分析方案由若干分析设置集合而成,包括网络对象数据统计设置,分析模块设置,
诊断设置,日志设置,图表设置等。您可根据自己实际的分析任务,选择合适的分
析方案,这样,不仅能够提升系统分析性能,而且有助于提高您的分析效率。
科来网络分析系统提供了全新的分析方案功能。一个分析方案可由多个分析模块组
成,系统提供自定义分析方案,您可以根据实际分析需求新建分析方案,也可编辑
和修改系统初始的分析方案,可自定义添加或删除不同的分析模块,以达到最佳的
分析结果。不同的分析方案提供不同的视图表现和数据组合。
在这里插入图片描述在上图中,单击右键,将会弹出“编辑”、“新建”、“副本”以及“删除”菜单
选项,用户可根据实际需求对分析方案进行自定义操作。

  • 全面分析
    全面分析方案针对网络全局、单个网络对象、网络应用等进行全面、细致的分
    析和统计,包括通讯流量、会话、协议、常规的通讯参数等所有数据。
  • 安全分析
    安全分析方案主要是进行疑似蠕虫病毒分析、TCP 端口扫描分析、疑似 ARP
    攻击分析、可疑会话分析、疑似发起 DoS攻击分析和疑似受到 DoS 攻击分析。
  • HTTP 应用分析
    HTTP 应用分析方案主要分析 HTTP 应用的流、客户端与服务器的流量、诊断
    HTTP 网络应用的故障与性能。
  • 邮件应用分析
    邮件应用分析方案主要针对基于 SMTP 及 POP3 协议的 Email 应用流量统计
    与故障诊断分析。
  • DNS 应用分析
    DNS 应用分析方案主要分析 DNS 网络应用、诊断 DNS 网络应用故障、性能
    并对 DNS 做日志记录的保存。
  • FTP 应用分析
    FTP 高级分析分案主要针对 FTP 网络应用进行流量统计、日志记录与故障诊
    断。
  • VoIP 应用分析
    VoIP 分析方案主要针对网络应用中的 VoIP 呼叫进行流量统计、日志记录和
    故障诊断。

2.7 开始分析

分析工程是分析任务的载体,它包括数据源,网络环境,过滤器,分析方案和分析
结果,其中的分析方案是整个分析工程的重点。用户是通过启动分析工程来实施一
个分析方案。
工程可以被理解为一次分析任务。捕获数据之前,用户需要创建一个新工程。系统
在启动时默认创建一个新工程,用户也可以在标题栏中单击“新建工程”(快捷键:
Ctrl+N)进行手动创建新工程。
我们必须要对网络中的数据包进行捕获,然后才能分析整个网络,才能了解当前的
网络状况。通常,在引导界面中设置好分析参数后,就可以单击“Start”按钮开
始捕获数据包。

3 整体布局

开始捕获数据包后,此时显示的是科来网络分析系统的主界面,如下图。
在这里插入图片描述
在产品主界面中,主要由 6 个部分构成:标题栏、功能区、节点浏览器,主视图区、
警报浏览器以及状态栏。

  • 标题栏:提供系统菜单命令、显示分析工程及应用的分析方案。
  • 功能区:包括分析、系统、工具以及视图 4 个页面,详见功能区介绍。
  • 节点浏览器:提供协议端点、物理端点、IP 端点和 VoIP 浏览器进行节点数据
    过滤及快速定位。
  • 主视图区:包括图表、概要统计、诊断、物理端点、IP 端点、物理会话、IP
    会话、TCP 会话、UDP 会话、进程、应用、客户端、VoIP 呼叫、端口、矩阵、
    数据包、日志以及报表视图。
  • 警报浏览器:创建、删除在线警报以及显示警报状态及信息,默认为隐藏状态。
  • 状态栏:工程状态栏,包括显示分析方案、采集数据的网络适配器、过滤器状
    态、捕获时间以及捕获状态等信息。

3.1 标题栏

标题栏除了显示当前的分析工程以及使用的分析方案外,单击标题栏左边的圆形科来图标按钮,将显示系统菜单,下面的表格是菜单命令以及相应说明:
在这里插入图片描述

3.2 功能区

系统功能区包括了分析、系统、工具以及视图 4 个页面,分析栏的显示界面如下图:
在这里插入图片描述

分析栏中,包括数据包捕捉、网络档案设置、分析方案设置、数据存储设置、全局
仪表盘以及数据包缓存状态显示,您可以从该栏中进行各项分析设置、快速查看网
络全局利用率、每秒数据包、网络流量趋势以及数据包缓存状态等信息。
而在系统页面中,则包括了系统配置、资源、产品信息,其界面如下图:
在这里插入图片描述

您可以在系统页面中进行系统选项配置,包括协议解码器以及定时分析设置,此外,
可以快速访问科来官方网站、CSNA 网络分析社区,重新注册、激活产品等。
科来网络分析系统同样免费提供了 5 个网络小工具:Base64 编解码工具、科来
Ping 工具、MAC 地址扫描器、数据生成器以及数据包播放器,您可以在工具页面
中打开运行这些小工具并可自定义添加常用网络工具,如下图:
在这里插入图片描述
在功能区的视图页面中,提供了物理地址及 IP 地址的显示格式选择以及节点浏览
器、警报视图、在线资源页面的显示或隐藏选择,如下图:
在这里插入图片描述

3.3 节点浏览器

节点浏览器可以按协议浏览、按物理端点浏览、按 IP 端点浏览、按 VoIP 通信节
点浏览、按进程浏览、按应用浏览、按客户端浏览这 7 类方式,实时的反映网络中出现的协议、主机及该主机的物理地址和 IP 地址,主机当前是否正在通讯和通信进程。如下图。
在这里插入图片描述
节点浏览器以树状层级方式显示当前通讯的网络协议、物理地址、IP 地址和进程。通过节点浏览器,您可以快速定位和查看节点数据信息,如查看某个 IP 组信息、某个 VLAN 信息,单个 IP 地址、物理地址或协议的信息。

3.4 主视图区

系统所有分析、诊断以及统计数据均在主视图区显示,主视图区包括概要统计视图、节点统计视图、协议统计视图、会话统计视图、矩阵视图以及数据包解码视图。点击相应的视图标签,则可以查看相应的网络分析数据。

我的图表

科来网络分析系统提供了强大的自定义图表配置以及灵活的图表视图布局。
系统默认提供了多个图表面板,您可以自定义添加图表面板,每个图表面板又可任
意添加新的图表。除了添加全局的图表,您还可以从多个视图中对选中的网络对象
进行图表创建并在图表视图中进行显示。
通过灵活的设置图表,您可以更直观的对所关心的网络对象和应用的重要流量参数
进行实时的监控。系统图表视图如下图所示:
在这里插入图片描述

概要统计

概要统计视图对网络流量及常见网络应用进行详细的统计显示。通过概要统计视图,
您可以快速的查看当前的网络流量、数据包大小分布、TCP 通讯情况、HTTP 通
讯、DNS 通讯等多种类型的数据统计。
此外,配合节点浏览器的使用,您可以快速查看单个网络对象或对象组的概要统计
信息。在节点浏览器中选择某个网络对象,系统会自动过滤出该对象的统计数据,
能极大的提高您的分析效率。
在这里插入图片描述

诊断

科来网络分析系统提供了全新的诊断视图布局,分为诊断分层、诊断发生地址以及
详细事件描述 3 个分隔子窗口,您可以非常方便和直观的查看到当前网络中发生的
网络事件。诊断模块同样严格遵循 OSI 模型对网络事件进行分层显示,目前产品
支持四个层次的故障诊断:应用层、传输层、网络层、数据链路层。
诊断视图中,您可以了解到以下信息:

  • 每条诊断的参考信息,提供该诊断的描述,存在原因与解决方法。
  • 每个诊断信息提供关联的 Top N 主机排行显示。可直观得到每个诊断事件是
    由哪些主机触发。
  • 与主机关联的诊断事件日志,帮助您更迅速的发现问题主机。
  • 与事件相关的数据包挖掘,您可以双击某条诊断日志弹出该日志相关的数据包
    通讯,快速分析问题。
    系统诊断视图如下图所示:
    在这里插入图片描述

协议

协议视图提供全局的协议统计,遵循 OSI 七层协议分析,根据实际的网络协议封
装顺序,不同的协议赋予不同的色彩,层次化的展现给用户,并且,能够单独统计
每一个层次下所使用的协议,方便用户查看。
协议视图下方提供了物理端点与 IP 端点子视图,选择某个协议后,在子视图中会
显示使用该协议的物理地址或 IP 地址的端点流量统计。
通过协议视图对各协议占用流量及百分比的统计,您可以得出当前网络中占用流量
最多的协议,即当前网络中占用流量最多的服务类型;并帮助您排查网络速度慢、
邮件蠕虫病毒攻击、网络时断时续以及用户无法上网等网络故障。
协议视图如下图所示:
在这里插入图片描述

物理端点

科来网络分析系统提供了全新的物理端点视图,按 MAC 地址类型统计网络中物理
端点之间的通讯情况,物理端点视图统计参数多达 46 种,您可以自定义显示统计
参数,也可以按每个参数进行排序显示。物理端点视图中,增加了物理会话子视图,方便您查看每个物理端点详细的通讯会话信息。物理端点视图如下图所示:
在这里插入图片描述

IP 端点

IP 端点视图按 IP 类型统计 IP 地址之间的通讯情况。与物理端点视图类似,IP 端
点的统计参数同样可以提供自定义统计参数显示以及按参数大小排序。
通过 IP 端点视图,您可以快速找定位通讯量最大的 IP 节点和物理节点,可以清楚
地得出当前网络中所有主机(包括某个网段、某个 VLAN、某个 IP)的具体流量占用情况,如总流量最大的主机、发送流量最大的主机、接收流量最大的主机、收发数据包数最多的主机、发送数据包最多的主机、接收数据包最多的主机、内部流量、以及广播流量最大的主机等信息。
通过这些信息,您可以确定网络中是否广播/组播风暴,并帮助您排查网络速度慢、网络时断时续、蠕虫病毒攻击、DOS 攻击、以及无法上网等网络故障。
IP 端点视图包括 IP 会话、TCP 会话、UDP 会话 3 个分隔子窗口,您可以非常方
便的查看每个 IP 端点关联的会话信息,如下图所示:
在这里插入图片描述

物理会话

科来网络分析系统提供全新的物理会话视图,详细统计网络中物理地址之间的通讯
会话情况。
物理会话视图提供了详细的会话参数统计,包括通讯节点、通讯持续时间、通讯流
量、通讯数据包个数、发送流量、接收流量、发送数据、接收数据包等丰富的数据
信息。
物理会话如下图所示:
在这里插入图片描述

IP 会话

IP 会话视图详细统计了 IP 地址间的通讯会话情况。通过查看每条会话,我们可以
分析其源地址、目标地址、会话时间、会话流量、收发的数据包及这些数据包的大
小等信息。我们可以通过这些信息快速分析出当前网络中某个会话的通讯情况。
IP 会话视图如下图所示:
在这里插入图片描述

TCP 会话

科来网络分析系统提供了详细的 TCP 通讯会话分析。通过 TCP 会话视图,您可以详细的了解到每个 TCP 通讯连接的会话情况。
通过分析 TCP 会话,可以帮助我们快速分析网络中的安全隐患,如网络明文传输、扫描型蠕虫病毒、DDOS 攻击等。在 TCP 会话视图中,包括了数据包、数据流以及时序图 3 个子视图窗口,您可以详细查看某条会话的原始通讯数据包、TCP 的数据流重组以及TCP连接的时序图,有效的展现TCP连接通讯双方的 SYN 和ACK响应状态,帮助您更容易理解 TCP 通讯内容和直观地发现问题。
TCP 会话视图如下所示:
在这里插入图片描述

UDP 会话

与 TCP 会话类似,UDP 会话视图详细展现了网络中的 UDP 通讯情况。
通过对 UDP 会话的分析,同样可以帮助我们分析网络中的蠕虫病毒、DDOS 攻击
等安全问题,UDP 会话视图如下图所示:
在这里插入图片描述

进程

系统提供了本机进程分析视图,能够帮助用户快速分析本地计算机的进程通信情况。
详细信息包括:数据包、字节数、每秒字节、每秒位、每秒数据包、接收字节、接
收数据包、发送字节、发送数据包、发送/接收(字节)比率、对于进程的应用程序安
装目录等。
分析视图如下图所示:
在这里插入图片描述
选中某一条进程后,可以在其子视图中查看该进程使用的通信协议,也可以分析该
进程的详细 TCP 和 UDP 会话情况。

应用

科来网络分析系统支持以应用为对象,进行网络通讯数据的分析和统计。通过应用
视图,我们可以知道当前网络中各应用流量情况,并且在关联的子视图中,我们可
以看到各应用的通讯协议、TCP 和 UDP 会话情况,如下图所示:
在这里插入图片描述

客户端

科来网络分析系统支持以终端应用程序为对象,进行网络通讯数据的分析和统计。
通过客户端视图,我们可以知道当前网络中各终端应用程序的流量情况,并且在关
联的子视图中,我们可以看到各终端应用程序的通讯协议、TCP和 UDP会话情况。
通过客户端视图,您可以快速分析当前网络中终端应用程序的运行情况,以及是否
有非法应用程序访问等。
客户端视图,如下图所示:
在这里插入图片描述

VoIP 呼叫

VoIP 呼叫视图用于实时显示网络中的 VoIP 呼叫统计信息。
VoIP 呼叫视图如下图所示:

在这里插入图片描述

端口

端口视图用于实时显示网络中的端口流量统计信息,统计的端口包括 TCP 端口和
UDP 端口。
端口视图如下图所示:
在这里插入图片描述

矩阵

矩阵视图用于实时显示网络通讯的节点和会话信息。用户可以选择不同的类型来查
看矩阵视图,矩阵类型有物理矩阵和 IP 矩阵两种,同时只能选择查看一种类型的
矩阵。

  • 物理:根据物理地址(MAC 地址)节点显示矩阵内容。
  • IP 地址:根据 IP 地址节点显示矩阵内容。
    科来网络分析系统默认提供了 TOP 100 物理会话矩阵与物理节点矩阵以及 TOP 100 IPv4 会话矩阵与 IPv4 节点矩阵。您可以通过矩阵视图工具栏的“添加矩阵”按钮自定义矩阵显示。
    矩阵视图如下图所示:

在这里插入图片描述

数据包

在数据包视图中,我们可以详细查看网络中原始的数据包通讯情况,系统对每个数
据包进行详细分析和界面,包括:概要解码,字段解码,十六制解码。
科来网络分析系统提供实时捕捉、实时解码功能,对捕获到的每个数据包进行实时
分析和解码,帮助您快速分析网络通讯,如下图所示:
在这里插入图片描述从上图可以看到:数据包视图包括概要解码、详细字段解码、HEX 解码以及ASCII解码。您也可以通过详细的字段解码分析原始的数据通讯,以帮助您快速定位可疑的网络数据包。此外,概要解码中的解码列字段可以帮助您进行数据包之间的解码对比。通过对数据包的详细解码分析,即便是精心伪造的网络攻击、欺骗数据包在这种模式下也无所遁形。

日志

科来网络分析系统提供常见网络应用的日志显示及保存。每个日志由相应的分析模
块提供,是否显示该日志由分析方案的设置决定。日志包括以下类型:

  • 全局日志
  • DNS 日志
  • Email 日志
  • HTTP 日志
  • FTP 日志
  • VoIP 信令事件日志
  • VoIP 呼叫日志
    系统提供全局日志汇总显示,将各应用分析方案提供的日志汇总显示,也可单独显示某种类型的日志,方便您发现数据关联,帮助网络问题排查。日志视图如下图所示:

在这里插入图片描述

报表

科来网络分析系统提供丰富的报表定制,可以帮助您生成各种统计数据的报表。并
且,您可以配合节点浏览器的选择,自定义生成各种网络对象的报表显示。
此外,您可以自定义报表显示,可指定报表中的公司标识,名称,报表前缀,创建
人员和生成时间。还可以指定 TOP-N 类型的显示数量。
报表输出存储类型支持常见的 PDF 电子文档,MHT 复合文档和 HTML 格式文档,
如下图所示:

在这里插入图片描述

3.5 警报浏览器

系统提供实时全局实时警报,以醒目的方式提醒管理员当前警报。并在主视图右下
角显示当前触发的警报数量。
您可以按照安全、性能、故障 3 种类型自定义创建各种警报,并且可从多个视图
中对选中的网络对象进行警报创建及警报日志自动保存。
每种警报有以下属性:

  • 警报对象。
  • 警报类型(安全,性能,故障),严重程度(信息,通知,警告,错误)。
  • 丰富的警报统计数据来源。
  • 设置警报进入条件。
  • 设置警报解除条件。
  • TOP10 流量统计(触发警报时各种 TOP10 流量的统计快照)。
    系统警报浏览器下图所示:
    在这里插入图片描述### 3.6 状态栏
    系统提供全局状态栏显示,状态栏包括以下信息:
  • 当前分析模式与分析方案名称
  • 网络适配器或回放文件再选择及状态显示
  • 数据包捕捉过滤器状态显示与设置
  • 工程数据统计,包括持续时间,包捕捉过滤统计
  • 警报状态显示与设置
    状态栏如下图所示:
    在这里插入图片描述
    在状态栏中单击网络适配器,进入网络适配器选择界面;单击过滤器图标,进入过滤器设置界面;单击警报浏览器图标,打开警报浏览器,进行警报相关设置。

4 分析方案设置

分析方案设置提供网络数据捕捉前的捕获条件及其它常规设置。用户在进行数据包
捕获的时候,可以自定义分析对象设置,数据包显示缓存设置、过滤器、网络事件
的诊断设置、日志设置、日志保存、数据包保存以及分析视图显示设置。分析方案
设置主要包括以下内容:

  • 分析方案设置
    设置分析方案的分析模块。
  • 分析对象设置
    主要设置是否开启需要分析和统计的网络对象。
  • 诊断设置
    自定义需要诊断的网络事件,对网络内的错误信息或故障信息进行自动提示。
  • 分析视图设置
    分析主视图区的关闭/显示设置以及视图显示顺序设置。
  • 数据包显示缓存设置
    主要设置数据包显示缓存大小。
  • 数据包过滤器
    设置数据包捕捉过滤器。
  • 数据包保存
    设置数据包的自动保存。
  • 会话筛选器
    设置会话筛选,以捕捉分析特定的会话数据。
  • 日志设置
    设置是否开启日志分析模块,以统计和分析常见的应用日志。
  • 日志保存
    设置网络应用日志的自动保存。

4.1 分析方案设置

科来网络分析系统提供多个面向不同分析业务的分析方案,每个分析方案,提供不
同的分析模块,在分析方案设置页面中,提供分析方案所加载分析模块的自定义设
置:
在这里插入图片描述此设置页面仅建议高级用户使用,一般情况下,使用系统默认设置即可。
说明:
此设置页面仅在开始数据捕捉前显示,即在系统开始页面中编辑修改分析方案时有
效;如果系统已经开始捕捉数据,单击主界面的分析方案设置时,将不能修改分析
方案的分析模块。

4.2 分析对象

在分析对象设置对话框中,用户可以选择是否需要开启分析对象的统计和分析、分
析对象的协议明细统计以及分析对象的数量设置。分析对象包括:网络协议、物理
地址、本地 IP 地址、远程 IP 地址、物理地址组、IP 地址组、物理会话、IP 会话、TCP 会话、UDP 会话、VoIP 呼叫和端口。
在这里插入图片描述
在分析对象设置对话框中,您可以选择开启或关闭不需要分析的分析对象以及该分
析对象的协议统计明细,并且,您可以设置每个分析对象的最大数量。如:当您在
分析对象选项中关闭 IP 地址组统计,系统则不会统计所有 IP 地址组的通讯信息,
即当您的节点浏览器中选择某个 IP 地址组时,IP 端点视图中,该 IP 地址组的所
有通讯参数为 0;如果您打开 IP 地址组选项,而关闭其分析协议明细,则不会统
计 IP 地址组的协议明细,即当您在节点浏览器中选择某个 IP 地址组的时候,其协
议视图为空;如果您关闭分析对象中的物理会话,那么,系统将不会统计和分析网
络中的所有物理会话,如果您打开物理会话而关闭物理会话的分析协议明细,那么
将不会统计通讯协议的物理会话细节,即当您在节点浏览器中选择某个二层通讯协
议(如 ARP)的时候,其物理会话视图为空。

4.3 诊断

诊断设置中,包含了系统内置的所有诊断事件,用户可以根据自身的网络情况,更
改诊断事件的设置,如类型、颜色、严重程度、条件阀值等。如果不想进行诊断的
事件,用户也可以在列表中,取消该事件的诊断应用。
诊断设置中,所有的诊断事件都是以协议层来分类,即应用层、传输层、网络层、
数据链路层。这样我们对于网络出现的故障,我们便能很快判断出是网络的哪一层出了问题。系统对每个诊断事件都提供了事件描述、可能发生的原因,以及可采取
的解决方案,这些信息对故障的排除是非常有参考价值的。
对于诊断设置中的配置,我们可以通过导入导出来与其他人员共享;如果设置混乱
了,您也可以采取恢复默认值。
在这里插入图片描述
诊断设置对话框中,按 OSI 模型层次化的列出了系统支持的所有的诊断事件,用
户可以在该对话框中对每种事件的属性进行设置,并且,可以查看每种事件的描述
以及提供的参考解决方法。

4.4 分析视图

科来网络分析系统默认有 16 个主视图区用于网络统计、分析及诊断数据的输出显
示,用户可以根据使用习惯自定义开启/关闭视图显示或调整视图显示顺序,如下
图:

在这里插入图片描述

显示/隐藏视图

如果您不关心某种类型的数据输出,在此对话框中,您可以不勾选对应的复选框,
在系统主界面中,将不会显示该视图;系统默认开启所有分析视图。

设置视图显示顺序

您可以根据自己的使用习惯,调整分析视图的显示顺序,选择某个视图,单击“上
移”或“下移”按钮,即可调整视图的显示顺序。
在系统主界面中,您可以直接关闭某个视图的显示,如果需要再次开启,则需要打
开此对话框,重新勾选即可。

说明:不同的分析方案,其加载的分析主视图会有所不同,请以实际选择的分析方案为准。

4.5 数据包显示缓存

数据包显示缓存设置对话框主要对数据包显示缓存大小进行,其界面如下图。
在这里插入图片描述

数据包显示缓存

科来网络分析系统会将捕获到的数据包进行分析后,将数据保存在缓冲器中,数据
包显示缓存在网络分析中可以起到高速缓冲存储数据的作用。只有当设置数据包保
存时,才将缓冲区的数据保存在硬盘上。 缓冲区的设置大小取决于所需要数据的
多少和计算机内存的大小。缓冲区的大小应该低于一半的可用物理内存,系统默认
为 128MB 的缓冲区,如果数据流量较大时可以增加。
当缓存装满时,可选择以下处理方法:

  • 丢弃旧数据包 (循环使用)
    当被捕捉的数据包数量达到您设定的最大值时,本系统将会丢弃缓存中最早保
    存的数据包,然后添加新的数据包。
  • 丢弃新捕获的数据包

当被捕捉的数据包数量达到您设定的最大值时,新捕获的数据包将在被分析模
块分析后被丢弃而不会被保存在缓存中。

  • 丢弃所有旧的数据包
    当被捕捉的数据包数量达到您设定的最大值时,本系统将清空缓存然后再添加
    新的数据包。
  • 停止捕捉或回放
    当缓存满时,停止数据的捕捉或回放。
    系统默认以丢弃最早的数据包为缓存装满时的处理方式,因此,数据包显示缓存的
    大小将会影响数据包视图的数据包显示,当捕捉数据超过显示缓存大小时,最早捕
    获的数据包将被丢弃,数据包视图将只显示最新的捕获数据。

TCP 会话分析缓存

TCP 会话分析缓存主要是用于保存 TCP 会话的流分析数据包。当您在 TCP 会话
视图中双击一条 TCP 会话,就可以打开 TCP 会话的流分析窗口。

4.6 数据包过滤器

在进行数据捕获之前,您可以在分析方案设置中设置数据包捕捉过滤器。

在这里插入图片描述

4.7 数据包保存

默认情况下,系统没有开启数据包存储功能,如果需要自动保存数据包,请在分析
方案设置的“数据包保存设置”对话框中事先进行设置。
下图中,选择“自动保存数据包文件”复选框,可以进行数据包文件存储设置:

  • 限制数据包为××字节:可以自定义设置只保存每个数据包的××字节大小。
  • 单个文件:将数据包以单个文件形式保存。
  • 多个分割文件:按时间或大小将数据包分割保存。(建议采用)
  • 文件存储路径:数据包文件存储路径设置,此处不可修改,如果需要更改路径,
    需要在分析服务器进行修改。
  • 基本文件名:设置保存数据包文件的基本文件名。
  • 文件分割间隔:自定义按时间(天/小时/分钟)或按文件大小(GB/MB/KB)
    进行保存。
  • 保存文件个数:设置保留所有或部分分割文件。

在这里插入图片描述

4.8 会话筛选器

在数据捕捉停止的情况下,您可以设置会话筛选器,以捕捉分析特定的会话数据,
如下图所示:

在这里插入图片描述

4.9 日志设置

科来网络分析系统支持多种常见网络应用的日志记录与保存,包括诊断日志、MSN日志、Yahoo 日志、DNS 日志、HTTP 请求日志、E-mail 信息日志、FTP 传输日志、全局日志、VoIP 信令事件日志和 VoIP 呼叫日志。用户可以在此对话框中选择需要开启和记录的日志类型,不同的分析方案启用的日志对象有所不同,全面分析方案默认启用全部日志,如下图。
在这里插入图片描述
此外,你可以设置每种日志类型的显示缓存大小及导出日志设置,如果您在日志对
象设置中不勾选某种类型的日志,系统将不会对该日志进行统计和分析,日志视图
中,看不到该日志的输出;在导出日志设置中,如果不勾选某种类型的日志,如
MSN 消息日志,那么,在进行日志文件自动存储时,将不会存储 MSN 消息日志。

4.10 日志保存

系统提供诊断日志、邮件日志、HTTP Apache 日志、HTTP 扩展日志、文件传输
日志、VoIP 信令事件日志和 VoIP 呼叫日志等 11 种类型的日志分析与保存。如果
需要保存某些特定类型的日志,需要事先在日志设置对话框的导出日志设置中选择。

  • 存储路径:与数据包存储类似,可自定义修改存储路径,存储文件可设置 log
    文件或 csv 文件。
  • 文件分割间隔:按文件大小(MB/KB)或按时间(天/小时/分钟)进行分割。
  • 保存文件个数:设置保留所有或部分分割文件。
    设置成功后,将自动在存储路径下建立对应的日志文件夹并自动存储日志文件。
    在这里插入图片描述

5 数据管理

科来网络分析系统可以对捕获的数据包文件进行有效管理。

5.1 数据包

科来网络分析系统支持对工程中单个和多个数据包以特定的格式保存,同时也可以
导入多个数据包文件。

导出数据包

单击工具栏中数据包缓存状态显示旁的“导出”按钮,或者在主视图区的数据包视
图的工具条中,单击“导出”,则可以将捕获的数据包导出保存。
在这里插入图片描述

对于捕获数据的保存,你也可以将数据内容导出到一个特定格式的文件。科来网络
分析系统除了支持基本的 cscpkt 格式的文件,也支持通用的 Sniffer、Omnipeek
等工具的文件格式。
科来网络分析系统支持以下类型的数据包格式:

  • Accellent 5Views Packet File(*.5vw)
  • Colasoft Packet File(V3)(*.rapkt)
  • Colasoft Raw Packet File(*.rawpkt)
  • Colasoft Raw Packet File (v2)(*.rawpkt)
  • EtherPeek Packet FileV9)(*.pkt)
  • HP Unix Nettl Packet File(*.TRCO;TRC1)
  • Libpcap(Wireshark,Tcpdump,Ethereal,etc.)(*.cap;*pcap)
  • Wireshark(Wireshark,etc)(.pcapang;pcapang.gz;.ntar;.ntar.gz)
  • Microsoft Network Monitor 1.x 2.x(*.cap)
  • Novell LANalyer(*.tr1)
  • NetXRay2.0,and Windows Sniffer(*.cap)
  • Sun_Snoop(*.Snoop)
  • Visual Network Traffic Capture(*.cap)

导入数据包

科来网络分析系统支持多种通用数据包格式的回放导入和分析,你可以在引导界面
中选择“回放分析”模式导入数据包文件,如下图。
在这里插入图片描述单击“添加”按钮选择需要导入分析的数据包文件,在进行回放分析之前,您可以
设置过滤器来分析特定的数据。并且,回放分析同样也可以选择不同的分析方案、
网络档案以及多种回放速度,在设置相关的条件后,单击“开始”打开相应的分析
方案,就可以开始数据包的导入了。
科来网络分析系统支持导入回放的数据包格式如下:

  • Accellent 5Views Packet File(*.5vw)
  • Colasoft Packet File(.cscpkt;rapkt;.rawpkt;.cacproj)
  • EtherPeek Packet File(V7/V9)(*.pkt)
  • HP Unix Nettl Packet File(*.TRCO;TRC1)
  • Libpcap(Wireshark,Tcpdump,Ethereal,etc.)(*.cap;*pcap)
  • Wireshark(Wireshark,etc)(.pcapang;pcapang.gz;.ntar;.ntar.gz)
  • Microsoft Network Monitor 1.x 2.x(*.cap)
  • Novell LANalyer(*.tr1)
  • Network Instruments Observer v9.0(*.bfr)
  • NetXRay2.0,and Windows Sniffer(*.cap)
  • Sun_Snoop(*.Snoop)
  • Visual Network Traffic Capture(*.cap)

5.2 数据存储

科来网络分析系统的数据存储包括数据包文件存储日志文件存储,系统默认禁用了
数据存储功能,如果需要进行数据自动保存,在分析方案设置中,提供了数据存储
设置:
在这里插入图片描述在开始进行数据捕捉前,双击分析方案,或选择分析方案的右键“编辑”菜单,可
打开分析方案设置对话框进行数据存储设置,此外,您也可以在产品主界面功能区
进行数据存储设置,如下图:
在这里插入图片描述

数据包文件存储

数据包存储设置对话框如下图所示:

在这里插入图片描述数据包存储设置:
默认情况下,系统没有开启数据包存储功能,选择“自动保存数据包文件”复选框,
可以进行数据包文件存储设置:

  • 限制数据包为××字节:可以自定义设置只保存每个数据包的××字节大小。
  • 单个文件:将数据包以单个文件形式保存。
  • 多个分割文件:按时间或大小将数据包分割保存。(建议采用)
  • 文件存储路径:数据包文件存储路径设置,此处不可修改,如果需要更改路径,
    需要在分析服务器进行修改。
  • 基本文件名:设置保存数据包文件的基本文件名。
  • 文件分割间隔:自定义按时间(天/小时/分钟)或按文件大小(GB/MB/KB)
    进行保存。
  • 保存文件个数:设置保留所有或部分分割文件。

日志文件存储
日志文件存储设置对话框如下图所示:
在这里插入图片描述
日志文件存储设置:
系统提供诊断日志、邮件日志、邮件副本、HTTP Apache 日志、HTTP 扩展日志、
文件传输日志、MSN 消息日志、Yahoo 消息日志、全局日志、VoIP 信令事件日志
和 VoIP 呼叫日志共 11 种类型的日志保存。

  • 存储路径:与数据包存储类似,存储路径不可修改,如果需要更改路径,需要
    在分析服务器中修改。
  • 文件分割间隔:按文件大小(MB/KB)或按时间(天/小时/分钟)进行分割。
  • 保存文件个数:设置保留所有或部分分割文件。
    设置成功后,系统将在设置的存储路径下建立对应日志文件夹并自动存储日志文件。
作者: [以色列]约拉姆 奥扎赫 出版社: 人民邮电出版社 译者: 古宏霞 / 孙余强 内容简介 · · · · · · 本书采用步骤式为读者讲解了一些使用Wireshark来解决网络实际问题的技巧。 本书共分为14章,其内容涵盖了Wireshark的基础知识,抓包过滤器的用法,显示过滤器的用法,基本/高级信息统计工具的用法,Expert Info工具的用法,Wiresahrk在Ethernet、LAN及无线LAN中的用法,ARPIP故障分析,TCP/UDP故障分析,HTTPDNS故障分析,企业网应用程序行为分析,SIP、多媒体IP电话,排除由低带宽或高延迟所引发的故障,认识网络安全等知识。 本书适合对Wireshark感兴趣的网络从业人员阅读,适合高校网络相关专业的师生阅读。 作者简介 · · · · · · Yoram Orzach 毕业于色列技术学院(Israel Institute of Technology),持有该校科学学士学位。1991-1995年,以系统工程师的身份就职于Bezeq公司,从事传输及接入网相关工作。1995年,从Leadcom集团(Leadcom group)加盟Netplus公司,并转型为技术管理者。自1999年起,开始担任NDI通信公司(NDI Communications,http://www.ndi-com.com/)的CTO,负责并参与该公司在全球范围内的数通网络的设计、实施及故障排除工作。Yoram对大型企业网络、服务提供商网络及Internet服务提供商网络极有心得,Comverse、Motorola、Intel、 Ceragon networks、Marvel以及 HP等公司都接受过他提供的服务。Yoram在网络设计、实施及故障排除方面浸淫多年,在研发(R&D)、工程、IT团队的培训方面也有丰富的经验。 目录 · · · · · · 第1章 Wireshark简介 1 1.1 Wireshark简介 1 1.2 安置Wireshark(程序或主机) 2 1.3 开始抓包 9 1.4 配置启动窗口 14 1.5 配置时间参数 20 1.6 定义配色规则 22 1.7 数据文件的保存、打印及导出 24 1.8 通过Edit菜单中的Preferences菜单项,来配置Wireshark主界面 28 1.9 配置Preferences窗口中的Protocol选项 33 第2章 抓包过滤器的用法 37 2.1 简介 37 2.2 配置抓包过滤器 38 2.3 配置Ethernet过滤器 42 2.4 配置主机网络过滤器 46 2.5 配置TCP/UDP及端口过滤器 50 2.6 配置复合型过滤器 53 2.7 配置字节偏移净载匹配型过滤器 55 第3章 显示过滤器的用法 58 3.1 简介 58 3.2 配置显示过滤器 59 3.3 配置Ethernet、ARP、主机网络过滤器 67 3.4 配置TCP/UDP过滤器 71 3.5 配置协议所独有的显示过滤器 78 3.6 配置字节偏移型过滤器 81 3.7 配置显示过滤器宏 82 第4章 基本信息统计工具的用法 84 4.1 简介 84 4.2 Statistics菜单中Summary工具的用法 85 4.3 Statistics菜单中Protocol Hierarchy工具的用法 87 4.4 Statistics菜单中Conversation工具的用法 90 4.5 Statistics菜单中Endpoints工具的用法 94 4.6 Statistics菜单中HTTP工具的用法 96 4.7 配置Flow Graph(数据流图),来查看TCP流 101 4.8 生成与IP属性有关的统计信息 103 第5章 高级信息统计工具的用法 107 5.1 简介 107 5.2 配置与显示过滤器结合使用的IO Graphs工具,来定位与网络性能有关的问题 108 5.3 用IO Graphs工具测算(链路的)吞吐量 112 5.4 IO Graphs工具的高级配置方法(启用Y轴Unit参数的Advanced选项) 117 5.5 TCP StreamGraph菜单项中Time-Sequence (Stevens)子菜单项的用法 125 5.6 TCP StreamGraph菜单项中Time-Sequence (tcp-trace)子菜单项的用法 128 5.7 TCP StreamGraph菜单项中Throughput Grap子菜单项的用法 131 5.8 TCP StreamGraph菜单项中Round Trip Time Graph子菜单项的用法 133 5.9 TCP StreamGraph菜单项中Window Scaling Graph子菜单项的用法 135 第6章 Expert Info工具的用法 137 6.1 简介 137 6.2 如何使用Expert Info工具执行排障任务 137 6.3 认识Errors事件 145 6.4 认识Warnings事件 147 6.5 认识Notes事件 149 第7章 Ethernet、LAN交换及无线LAN 152 7.1 简介 152 7.2 发现广播及错包风暴 152 7.3 生成树协议分析 159 7.4 VLANVLAN tagging故障分析 168 7.5 无线LAN(WiFi)故障分析 172 第8章 ARPIP故障分析 177 8.1 简介 177 8.2 与ARP有关的连通性网络故障分析 178 8.3 IP流量分析工具的用法 186 8.4 利用GeoIP来查询IP地址的归属地 189 8.5 发现IP包分片问题 192 8.6 路由选择故障分析 197 8.7 发现IP地址冲突 200 8.8 DHCP故障分析 204 第9章 UDP/TCP故障分析 208 9.1 简介 208 9.2 配置Preferences窗口内protocol选项下的UDPTCP协议参数,为排除排障 做准备 209 9.3 TCP连接故障 213 9.4 TCP重传现象——源头及原因 219 9.5 重复确认(duplicate ACKs)快速重传(fast retransmissions)现象 229 9.6 TCP报文段失序现象 232 9.7 TCP Zero Window、Window Full、Window Change以及其他包含Window字样 的提示信息 235 9.8 TCP重置(reset)及原因 240 第10章 HTTPDNS 242 10.1 简介 242 10.2 筛选DNS流量 243 10.3 分析DNS协议的常规运作机制 247 10.4 DNS故障分析 252 10.5 筛选HTTP流量 260 10.6 配置Preferences窗口中protocol选项下的HTTP协议参数 263 10.7 HTTP故障分析 266 10.8 导出HTTP对象 272 10.9 HTTP数据流分析及Follow TCP Stream窗口 274 10.10 HTTPS协议流量分析——SSL/TLS基础 277 第11章 企业网应用程序行为分析 286 11.1 简介 286 11.2 摸清流淌于网络中的流量的类型 287 11.3 FTP故障分析 289 11.4 E-mail协议(POP、IMAP、SMTP)流量及故障分析 295 11.5 MS-TS Citrix故障分析 305 11.6 NetBIOS协议故障分析 308 11.7 数据库流量及常见故障分析 317 第12章 SIP、多媒体IP电话 322 12.1 简介 322 12.2 使用内置于Wireshark 的IP电话及多媒体流量专用分析工具 323 12.3 SIP故障分析 330 12.4 RTP/RTCP故障分析 341 12.5 视频及视频监控应用排障场景 349 12.6 IPTV应用排障场景 353 12.7 视频会议应用排障场景 354 12.8 排除RTSP协议故障 356 第13章 排除由低带宽或高延迟所引发的故障 361 13.1 简介 361 13.2 测量通信链路的总带宽 361 13.3 测量每个用户及每种应用所占用的通信链路的带宽 366 13.4 借助Wireshark,获悉链路上的延迟及抖动状况 367 13.5 发现因高延迟/高抖动所引发的应用程序故障 370 第14章 认识网络安全 377 14.1 简介 377 14.2 发现异常流量模式 378 14.3 发现基于MAC地址基于ARP的攻击 384 14.4 发现ICMPTCP SYN/端口扫描 385 14.5 发现DoS/DDoS攻击 393 14.6 发现高级TCP攻击 397 14.7 发现暴力破解(brute-force)攻击 400 附录 链接、工具及阅读资料 405
©️2022 CSDN 皮肤主题:护眼 设计师:闪电赇 返回首页

打赏作者

Sumarua

创作不易,大爷给个鼓励吧

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值