科来教程网络嗅探抓包分析(经典原创).ppt

科来的介绍和使用 讲解by逐渐变黑 科来的介绍公司介绍产品介绍市场需求科来的使用界面介绍基本配置案例分析 科来软件成立于2001年 是以网络分析技术为核心的高新科技企业 自创建以来 一直致力于网络分析技术的研究与推动 将网络分析技术应用于网络安全态势分析 网络故障诊断 网络性能优化等领域 并提供网络分析认证培训和相关技术服务以技术为核心的国际软件企业 自公司创建以来 一直致力于网络故障诊断 网络性能优化 以及网络分析认证培训和相关技术服务 是以网络分析为核心的产品提供商和服务提供商 公司简单介绍 市场需求 随着互联网的日夜庞大 网络故障和事故问题日渐突出 网络窃密 计算机病毒 网络攻击等经常出现 网络威胁就在我们身边 那么我们就需要一个手段来发现这些危害来保护自己科来就是这样的软件 科来的使用与界面介绍 安装科来很方便这里不介绍 我使用的是科来网络分析系统2010技术交流版 话不多说现在开始界面介绍 由于是在做ppt所以我们就把重要的介绍一下 常规配置介绍 地址过滤器使用详解 端点视图介绍 端口过滤器使用详解 会话视图介绍 矩阵视图介绍 诊断设置介绍 诊断视图介绍 软件使用 地址过滤器使用详解 在检测网络故障的时候 并不是每次都捕获网络中的所有数据包 这样分析会加大工作量 我们要有针对性的进行一个主机 一定范围的主机进行分析 然而地址过滤器的设置可以达到这个目地 下面我们介绍下科来网络分析系统的地址过滤器 一 使用介绍 在科来网络分析系统中 设置简单过滤器的时候会出现地址过滤 端口过滤和协议过滤 现在我们就来详细的说说地址过滤 界面如下图1 图1简单过滤器中地址过滤的设置界面 选择地址过滤设置中 用户可指定物理地址 ip地址 ip范围 ip子网来定义双方的地址 同时 也可以对数据包的传输方向做控制选择 可设定是单向的或是双向的 点击 可从 名字表 里面选择物理地址或ip 点击图标 可查看地址过滤的格式 用户可以在下拉菜单中选择4种地址过滤条件置 下面我们来分别介绍 1 物理地址2 ip地址3 ip范围4 ip子网二 应用举例当堂演示 端口过滤器使用详解 在网络中 端口就好比房子的门 数据要进出就必须通过这道门 网络中的服务都对应的某个或者某些端口 所以我们在对某些特定的特性服务就会使用到端口过滤了 这里我们所说的都是逻辑端口 比如像目前比较流行的bt等 它有个特征就是默认使用6881 6889端口 下面我们来详细介绍科来网络分析系统的端口过滤器 一 使用介绍在科来网络分析系统过滤器设置中 端口过滤和地址过滤的设置有点相似 也提供多种方式 用户可选择单个端口 也可是一个端口范围 或是多个端口 界面如下图1 在端口过滤器中 用户可以在下拉列表中选择三种端口过滤类型来定义端口过滤器 下面我们来分别介绍 1 单个端口在该类型下 用户只能设置单一的一个端口 用户可以在名字表中来选择0 48556的端口 2 端口范围某些服务和应用程序 不只使用一个端口 而是使用某个范围的端口 如bt等 在这时就会使用按照端口范围来设置端口过滤器 例如 6881 6889 3 多端口多端口和端口范围有点类似 只不过这里可以不是连续的端口 在设置的格式上 每个端口用分号来间隔 说明 端口2的端口信息设定和端口1的相同 只是比端口1多了一个 任意端口 如果对端口的输入格式不清楚 可单击端口类型右侧的 按钮查看帮助信息二 应用举例当堂演示 端点视图介绍 网络端点是网络通讯中的重要组成部分 是网络通讯的两端 科来网络分析系统将端点分为物理端点和ip端点 通过网络端点统计分析功能 用户可以快速找定位通讯量最大的ip端点和物理端点 界面如下图 说明 从上图可以清楚地得出当前网络中所有主机 包括一个网段 一个物理mac地址 一个ip 的具体流量占用情况 如总流量最大的主机 发送流量最大的主机 接收流量最大的主机 收发数据包数最多的主机 发送数据包最多的主机 接收数据包最多的主机 内部流量 以及广播流量最大的主机等信息 通过这些信息 我们可以确定网络中是否广播 组播风暴 并帮助用户排查网络速度慢 网络时断时续 蠕虫病毒攻击 dos攻击 以及用户无法上网等网络故障 会话视图介绍 简介 会话功能是科来网络分析系统一个重要功能 用户可以在这个视图下看到当前网络中的所有会话情况 会话视图提供物理地址 ip地址 tcp连接 udp会话来显示网络中的会话信息 并在下方的子窗口中显示当前选定会话的数据包等信息 通过查看每条会话 我们可以统计其源地址 目标地址 该会话收发的数据包及这些数据包的大小等信息 我们可以通过这些信息确定出当前网络中某个会话的通讯情况 1 物理地址会话 物理地址会话视图中 显示网络中物理地址之间会话的信息 可统计其源物理地址 目标物理地址 该连接收发的数据包及这些数据包的大小等信息 并在下方的子窗口中显示当前选定物理地址会话的原始数据包信息 通过这些信息 我们可以确定出当前网络中物理地址之间的通讯情况 如图 2 ip地址会话 ip地址会话视图中 显示网络中ip地址会话的信息 对于每条ip地址会话 都可统计其源地址 目标地址 该会话收发的数据包及这些数据包的大小等信息 并在下方的子窗口中显示当前选定ip地址会话的原始数据包信息通过这些信息 我们可以确定出当前网络中ip地址会话的情况 如图 3 tcp连接会话 tcp连接视图中 显示网络中tcp连接的信息 对于每条tcp会话 都可统计其源地址 目标地址 该连接收发的数据包及这些数据包的大小等信息 并在下方的子窗口中显示当前选定tcp连接的原始数据包信息 tcp数据流重组信息 通过这些信息 我们可以确定出当前网络中tcp连接的情况 如图 4 udp会话 udp会话视图中 显示网络中udp会话的信息 对于每条udp会话 可以统计其源地址 目标地址 该会话收发的数据包及这些数据包的大小等信息 并在下方的子窗口中显示当前选定udp会话的原始数据包信息 udp数据流重组信息 通过这些信息 我们可以确定出当前网络中udp通讯的情况 如图 矩阵视图介绍 矩阵视图当堂演示 诊断设置介绍 科来网络分析系统交流版的诊断设置对话框 可对工程的支持的诊断信息进行设置 其界面如下图所示 诊断设置的作用是让用户自定义各种诊断事件 包括是否启用诊断事件 以及诊断事件中的参数设定 诊断视图中可以分为以下三个区域 诊断事件区诊断显示设置区诊断信息描述区系统在默认情况下会启用系统内置的所有诊断事件 用户可以根据自身的网络情况 更改诊断事件的设置 如颜色 严重程度 条件 阈值等相关参数 如果不希望启用某个诊断事件 直接在对话框中取消该诊断事件的选中状态即可 诊断设置中 诊断事件按照协议的层次分为应用层 传输层 网络层 数据链路层 osi七层方式分层 启用诊断事件时 如果网络中的数据传输存在相应的故障 系统会立刻将相应的诊断信息显示在系统中 根据该信息 我们便能快速定位网络故障点 同时 系统对每个诊断事件都