软件使用 - 科来网络分析系统50使用介绍.doc

科来网络分析系统5.0使用介绍软件使用 科来网络分析系统5.0使用介绍一、 系统安装1. 系统需求1) 最小需求 P3 500 CPU 256 MB 内存 10M/100M自适应网卡 Windows 2000(SP4或SP4更高)，Windows XP(SP1或SP1以上)，Windows 2003 Internet Explorer 5.5或更高版本2) 推荐需求 P4 2.0G CPU 512 MB或512 MB以上内存 Inter或3COM网卡 Windows 2000(SP4或SP4以上)，Windows XP(SP1或SP1以上)，Windows 2003 Internet Explorer 5.5或更高版本2. 安装环境1) 共享式网络使用集线器（Hub）作为网络中心交换设备的网络即为共享式网络，集线器（Hub）以共享模式工作在OSI层次的物理层。如果您局域网的中心交换设备是集线器（Hub），可将科来网络分析系统可安装在局域网中任意一台主机上，此时科来网络分析系统可以捕获整个网络中所有的数据通讯。2) 交换式网络使用交换机（Switch）作为网络的中心交换设备的网络即为交换式网络。交换机（Switch）工作在OSI模型的数据链接层，交换机各端口之间能有效地分隔冲突域，由交换机连接的网络会将整个网络分隔成很多小的网域。如果您局域网的中心交换设备是交换机连接（Switch），科来网络分析系统的安装有以下两种情况：l 交换机具备镜像端口功能当前网络中大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能，当您网络中的交换机此具备功能时，可在交换机上配置好端口镜像（关于交换机镜像端口），再将科来网络分析系统可安装在连接镜像端口的主机上即可，此时科来网络分析系统可以捕获整个网络中所有的数据通讯。l 交换机不具备镜像端口功能当您网络中的交换机不具备端口镜像功能时，可通过以下两种方式实现对网络数据的捕获。 串接一个分路器（Tap）在中大型网络中，可在交换机与网络出口设备（路由器或防火墙）之间串接一个单端口分路器，并将科来网络分析系统安装在连接此分路器端口的主机上，此时科来网络分析系统可以捕获整个网络中的所有进出数据通讯。 串接一个集线器（Hub）在小型网络中，可在交换机与网络出口设备（路由器或防火墙）之间串接一个集线器（Hub），并将科来网络分析系统安装在连接此集线器任意端口的主机上，此时科来网络分析系统可以捕获整个网络中的所有进出数据通讯。3) 检测一个网段在某些情况下您只需要对网络中某一个网段（如某一个部门）的数据通讯进行捕获。如果连接此网段的交换机具备端口镜像功能，那么可将科来网络分析系统安装在连接此交换机镜像端口的主机上，此时科来网络分析系统可以捕获此网段主机的所有数据通讯； 如果连接此网段的交换机不具备镜像端口功能，那么可在此交换机与它的上层设备之间串接一个集线器或分路器或具备端口镜像的交换机，并将科来网络分析系统安装在连接此设备的主机上，此时科来网络分析系统可以捕获此网段主机的所有进出数据通讯。注意: 大多数交换机端口镜像的设置方法都存在差异，如果您在设置时遇到困难，可参见交换机随机配套的方盘或说明书，或者访问获取镜像端口的配置信息，更详细的安装环境请参见科来网络分析系统5.0程序自带的帮助文件。二、 科来网络分析系统5.0主要功能介绍1. 界面预览安装好后，双击桌面上科来网络分析系统的快捷方式，打开系统主界面，输入产品序列号和安装号（可以先不用激活，不过在未激活只能使用15次），然后单击主界面工具栏上的“开始”按钮，科来网络分析系统开始捕获当前网络中的数据通信，并自动将当前工程文件命令为“工程一”，如图1所示。（注：在科来网络分析系统5.0中，工程是指对捕获任务进行设置和过滤的计划安排，同时也是捕获数据的显示区域和容器，并且可将此区域或容器中的数据保存到磁盘。）（图1科来网络分析系统5.0主界面）从图1中可知，科来网络分析系统5.0主界面布局从上到下为标题栏、菜单栏、工具栏、主视图区和状态栏；主视图区位于界面的中间部分，它主要由三个部分组成，左上部的节点浏览器、左下部的工程状态栏、右边的视图内容显示区，下面分别对其进行介绍。2. 节点浏览器节点浏览器最大的作用，是能快速定位需要查看的节点，通过节点的定位，用户可以快速准确地查看该节点对应的网络数据通讯。节点浏览器中的节点类型有三种，协议、物理端点、IP端点，详细介绍如下。 协议：以树状层级方式显示出当前网络中的通讯所使用的协议，当网络中出现使用某协议进行通讯的数据包时，系统自动将此协议添加到协议节点的相应位置。选中某协议时，主视图显示区中各视图均只显示使用该协议进行通讯的信息。如当用户希望查看访问互联网（默认情况下使用标准的HTTP协议）的信息时，可通过如图2的方式对协议进行定位，此时，主视图区的所有视图均只显示网络中使用HTTP协议通讯的信息。另外，使用协议节点，还可以有效得出网络中正在使用的服务，从而确定网络中是否存在非常用协议的异常数据通讯，如非法ARP攻击。（图2节点浏览器的协议节点中定位HTTP协议）IP端点：以树状方式显示当前网络中的通讯所涉及到的IP地址，IP端点以逻辑IP地址为显示的依据，它的下级分类里常用的有本地子网、私有网络、广播地址、组播地址、Internet地址等，系统捕获到某个IP地址时会自动将其加入到相应的分类中。通过IP端点，用户可以方便地定位一个网络，一个网段，或一个IP主机，定位某个节点时，主视图显示区中各视图均只显示与该节点有关的数据通讯信息。图3中，将节点定位在了IP端点下本地子网的/24网段上，此时主视图区的所有视图均只显示与/24网段主机相关的数据通讯信息。另外，使用IP端点节点，可以有效确定任何网段内部主机间的流量；可以有效得出当前网络中活动的IP主机，并确定这些活动主机是否正常，即是否为网络中不存在的IP主机（伪造IP），从而确定网络中是否存在伪造IP地址的攻击。（图3节点浏览器的IP端点中定位/24网段）（图4节点浏览器的物理端点中定位D-LINK:47:E8:DF主机）物理端点：以树状方式显示当前网络中的通讯所涉及到的MAC地址和IP地址，物理端点以网络的物理拓扑结构为显示的依据，它的下级分类里默认有本地网段、网关、广播地址、组播地址，系统捕获到某个MAC地址或IP地址时会自动将其加入到相应的分类中。通过物理端点，用户可以方便地定位一个网络，一个MAC地址（即一块网卡）或一个IP主机，定位某个节点时，主视图显示区中各视图均只显示与该节点有关的数据通讯信息。图4中，节点被定位在物理端点下本地网段中MAC地址为D-LINK:47:E8:DF的主机，此时主视图显示区的所有视图均只显示与D-LINK:47:E8:DF主机有关的数据通讯信息。另外，使用物理端点节点，可以有效确定任何网段内部主机间的流量；通过MAC地址与IP地址的对应比较，可以有效确定网络中是否存在用户私自更改IP或MAC的情况，以及网络中是否存在伪造IP地址或MAC地址的攻击。3. 工程状态栏主要用于显示当前工程文件的状态统计信息，具体包括数据包过滤器、错误数据包、捕获的数据包、丢失的数据包、接受的数据包、拒绝的数据包和缓存使用率，如图5所示。（图5 工程状态栏）单击“丢失的数据包”、“接受的数据包”、“拒绝的数据包”、“缓存使用率”，可将其显示方式在具体值和百分比间切换；双击“数据包过滤器”、“接受的数据包”、“拒绝的数据包”可打开过滤器设置对话框，双击“缓存使用率”将打开常规设置对话框。4. 主视图显示区主视图显示区是系统与用户最主要的交流平台，它最大的作用是显示网络中各种数据通讯信息。它包括概要统计、节点、协议、数据包、连接、日志、图表七个视图，用以显示节点浏览器中选定节点所对应的不同数据通讯信息。（注：在节点浏览器中选择不同节点时，各视图中的数据会发生相应的改变，以下如未明确指明节点的位置，均表示节浏览器中选定的是根节点，即当前工程名。）概要统计：概要统计用来显示当前网络通讯的各种信息统计值，通过这些值，我们可以知道网络的流量占用、数据包大小分布、错误包以及TCP连接等信息，具体包括：l 统计信息：显示科来网络分析系统开始运行的日期、时间，以及持续运行的时间。l 物理错误：显示网络中的物理错误数据包数，包括CRC错误、对齐错误、过大数据包错误和过小数据包错误。如果系统捕获到网络中有较多此类物理错误的数据包，表示当前网络的物理层可能存在故障，具体可能是由网络设备及线路干扰过大、网线RJ45头损坏、接触不良、线路两端设备速率不匹配等情况造成。l 802.3错误：显示网络中IEEE802.3错误的数据包数，包括802.3一次冲突错误、802.3多次冲突错误、802.3最大冲突错误和802.3延迟发送错误。当网络中出现较多此类物理数据包时，表示网络的传输存在故障，具体可能是由网络阻塞、两端设备速率模式不匹配、传输线路超出规定范围、网络设备（如网卡）硬件错误等情况造成。l 网络流量：显示网络中数据通讯的流量占用情况，包括总共流量、广播流量和组播流量。对每种流量，又可详细统计出其字节，数据包，每秒数据包，利用率等信息，通过这些信息，我们可以知道当前网络的总体工作状态：当总共流量的利用率超过50%，表示网络的负载过重；广播流量或组播流量大于总流量的20%，表示网络中可能存在广播/组播风暴或ARP攻击。l 数据包大小分布：显示网络中数据包的大小分布情况，不同大小的数据包，都可对其总共字节、数据包数、每秒数据包数、以及利用率等信息进行统计，通过数据包大小分布，可以知道网络的通讯质量，如当=1518的数据包过多，占用总流量比例过大时，表示网络中可能存在非正常的网络通讯，如碎片或数据包溢出攻击。l 最常见的数据包大小：显示网络中数量最多的数据包的大小以及这些数据包的流量占用情况，包括这些数据包的个数，占用字节数，每秒数据包数以及利用率等信息。通过这些信息，我们可以知道当前网络通讯中最多的数据包是什么，并判定其相应的服务，如1518和64字节左右的数据包排在前两位，表示网络中可能存在大文件的上传下载操作；另外，如网络中某固定大小的数据包占用流量及利用率均很高，表示网络中可能存在DOS/DDOS/DRDOS攻击。l TCP数据包：显示网络中的TCP数据包数，包括TCP同步数据包、TCP结束连接数据包、TCP复位数据包、TCP错误检验和数据包、TCP重传数据包以及TCP零窗口数据包，对每一种TCP数据包，都可以显示出其占用字节数，数据包个数，每秒数据包数以及利用率等信息，通过这些信息，可以知道网络中的通讯是否正常。如TCP同步数据包和TCP复位数据包大大超过其他类型数据包时，表示网络中可能有扫描器在工作，或者网络中有主机正在被扫描攻击；当TCP重传数据包过多时，则表示网络的通讯质量极低，可能存在环路现象；当TCP零窗口数据包较多时，表示对端主机当前无法接受数据，对方主机系统可能存在故障。l TCP连接：显示网络中的TCP连接数，可统计出初始化的TCP连接数、成功建立的TCP连接数、拒绝的TCP连接数和复位的TCP连接数。通过对这些信息的统计，我们可以知道网络中的TCP通信是否正常，如初始化的TCP连接数较多，而成功建立的TCP连接数很少时，表示网络中的主机可能感染病毒，且此病毒正在试图连接其他主机的某些TCP端口以进行感染；拒绝的TCP连接数较多时，表示网络可可能存在端口扫描攻击或用户名密码破解攻击。l SMTP分析：显示使用SMTP协议进行邮件发送的信息，包括建立的SMTP连接数，失败的SMTP连接数、服务器应答错误数，以及发送的邮件数等等。通过这些数据，我们可以确定网络中的邮件发送是否正常，如网络中的SMTP服务器工作是否正常（包括工作效率）；网络中的SMTP服务器是否可能被黑客控制，正被用于处理垃圾邮件；网络中是否存在感染蠕虫病毒的主机；网络中是否存在破解邮箱用户名密码的情况。l POP3分析：显示使用POP3协议进行邮件接收的信息，包括建立的POP3连接数，失败的POP3连接数、服务器返回错误数，以及接收的邮件数等等。通过这些数据，我们可以确定网络中的邮件接收是否正常，如邮件的POP3服务器是否正常工作（包括其工作效率）；网络中是否存在破解邮箱用户名密码的情况。l FTP分析：显示网络中FTP传输数据包的统计信息，包括FTP控制连接数、登录失败次数、成功的数据连接数、以及访问的服务器数等。通过这些信息，我们可以确定网络中进行FTP数据上传下载的情况，包括FTP服务器的数据是否被未被允许的上传下载，网络中是否存在FTP账户的用户名密码的情况，以及对上传下载的数据进行统计。l HTTP分析：显示网络中上网的统计信息，包括HTTP连接数、HTTP请求数、通过HTTP端口传输非HTTP数据的连接数、访问过的HTTP服务器数等。通过这些信息，我们可以对网络中的网页浏览进行统计，并确定网络中是否存在使用HTTP代理的程序，如通过HTTP端口传输非HTTP数据的连接数较大时，说明网络中可能正在运行使用HTTP代理服务器工作的程序，如QQ、MSN等P2P软件。端点：端点视图可以有效显示出当前网络通讯所涉及到的节点情况，有All、Physical、IP三种端点类型，如图6所示，当前选定的类型为All。（图6端点视图）从上图可以清楚地得出当前网络中所有主机（包括一个网段、一个物理MAC地址、一个IP）的具体流量占用情况，如总流量最大的主机、发送流量最大的主机、接收流量最大的主机、收发数据包数最多的主机、发送数据包最多的主机、接收数据包最多的主机、内部流量、以及广播流量最大的主机等信息。通过这些信息，我们可以确定网络中是否广播/组播风暴，并帮助用户排查网络速度慢、网络时断时续、蠕虫病毒攻击、DOS攻击、以及用户无法上网等网络故障。协议：协议视图可以有效显示网络中数据通讯所使用的协议，协议采用树状层级方式显示，对每一种协议，都对其占用的流量、使用此协议的数据包个数、此协议的流量在总流量中的百分比、以及使用此协议的数据包在总数据包中的百分比进行了统计，如图7所示。通过协议视图对各视图占用流量及百分比的统计，用户可以得出当前网络中占用流量最多的协议，即当前网络中占用流量最多的服务类型，并帮助用户排查网络速度慢、邮件蠕虫病毒攻击、网络时断时续以及用户无法上网等网络故障。（注：查看协议占用的比例时，需对应科来网络分析系统协议列表中各层次的协议关系，在同级协议之间比较，如TCP与UDP，HTTP与SMTP等，如果使用TCP与DNS等不同级的协议进行比较，得出的结果将不准确。）（图7协议视图）数据包：数据包视图用来显示网络中数据通讯的原始信息，对其进行原始解码分析，它包括数据包显示区和下方的解码视图区，解码的内容包括数据包所有层次的信息。通过解码信息，我们可以知道，网络中的数据包的类型、网络中传输的数据包是否正确、网络中IP数据包的版本；并确定目标主机是否在运行客户端主机所请求的服务、源主机到目标主机间的路由时间（即链路长度）、目标主机对客户端主机请求的服务的响应时间、网络中传输的数据是否为紧急数据、数据包在网络中经过的路由跳数、网络中是否存在环路现象、以及用户访问目标主机某服务的原始步骤等等。其界面如图8所示。（图8数据包视图）连接：连接视图专指TCP连接，用来显示网络中TCP连接的信息，包括成功的、失败的、活动的、停止的、正在建立的、已建立的、正在关闭的、已关闭的。并在下方的子窗口中显示当前选定连接的基本通信信息、TCP数据流重组信息、原始数据包信息、对应的日志文件。对于每条连接，都可统计其源地址、目标地址、当前状态、协议、该连接收发的数据包及这些数据包的大小等信息。通过这些信息，我们可以确定出当前网络中TCP通讯的情况，如查看两台主机之间的通讯内容、网络中是否存在TCP端口扫描攻击、网络中是否存在基于TCP协议的服务的账户用户名密码破解攻击、网络中是否存在邮件蠕虫病毒攻击、网络中是否存在长时间连接且流量小的TCP连接（QQ/MSN等程序使用HTTP代理即为此现象）；下方的TCP数据流重组，可以方便地得出当前选定连接的原始操作信息，通过 TCP连接的原始信息，我们可以确定这些TCP通讯的内容、步骤，并断定此连接是否正常。其界面如图9所示，图中显示的内容表示当前的连接是一个通过HTTP协议访问网页的情况。（图9连接视图）日志：日志视图记录网络中用户的高级网络运用，包括HTTP请求（网页浏览），邮件信息（通过SMTP/POP3进行的邮件收发）以及FTP传输（通过FTP进行的数据上传下载），并可根据用户的需要将这些日志信息保存到硬盘以备查阅。其界面如图10所示，当前选定的是HTTP请求的日志视图。（图10日志视图）在HTTP请求日志视图中，每条日志均表示由用户发起的一个HTTP请求，对于日志信息，系统可以捕获并统计出其对应的客户端地址、服务端地址、请求网址、请求方法、服务器响应、服务器返回的状态码、以及这条日志所持续的时间等信息。通过这些信息，我们可以有效查看网络中所有用户或者指定某用户的网页浏览情况（包括请求/被请求的网址信息，以及访问的频率），从而确定网络中是否存在恶意网页访问（攻击Web服务器80端口）、以及Web服务器的工作状态是否正常。在邮件信息日志视图中，每条日志均表示用户通过SMTP/POP3协议成功进行的邮件收发操作，对于每条日志信息，可以捕获并统计出其对应客户端地址、服务端地址、邮件发送者及其邮件地址、邮件接收者及其邮件地址、邮件抄送者、邮件客户端软件、邮件内容的大小、邮件是否携带附件、以及这条日志对应操作的精确时间。通过这些信息，我们可以有效查看网络中所有用户或指定用户的邮件收发情况，从而确定网络中的邮件收发是否正常、是否存在邮件蠕虫病毒攻击、是否存在对邮件服务器的攻击等情况。在FTP传输日志视图中，每条日志均表示用户从FTP服务器上传/下载一个文件的操作。对于每条日志信息，可以捕获并统计出其对应客户端地址、服务器端地址、账号信息、操作类型（上传或下载）、传输模式（主动或被动）、传输的总字节数和总包数等信息。通过这些信息，我们可以有效查看网络中的FTP文件传输情况，从而确定网络中的FTP传输是否正常、网络中是否存在FTP攻击（攻击相应主机后通过FTP方式对其进行上传下载文件的操作）等情况。图表：图表视图的内容与统计概要的内容相同，它使用图表方式形象地显示当前的网络通讯情况，包括错误数据包、常规、TCP分析、邮件分析、FTP分析和HTTP分析子项，每个子项中都可通过不同显示时间以及不同图表类型等情况进行显示。其界面如图11所示，图中显示的是数据包大小分布情况。（图11图表视图）错误数据包：包括物理错误包的统计信息、802.3错误包的统计信息、以及错误包与正常包的对比信息。通过这些信息，我们可以确定网络的工作状态是否合理、网络的链路层是否存在故障、网络的传输是否存在故障、网络设备（如网卡）是否存在硬件错误、传输线路是否超过规定范围、网络对端设备的速率是否匹配、线路干扰是否过大等情况。常规：对网络整体或用户选定节点的常规信息进行统计并以图表显示，包括网络利用率、数据包数量、数据包大小分布等情况，通过这些信息，我们可以确定网络或用户选定节点的主机的工作状态是否过于繁忙、网络中是否可能存在网络攻击、网络中数据包的增长趋势图等情况。TCP分析：对网络中的TCP连接进行统计并以图表方式显示，包括TCP连接、TCP数据包、TCP同步包、结束包和复位包等信息。通过这些信息，我们可以确定网络内TCP数据包的传输质量、网络中是否存在自动运行的重传攻击、是否存在端口扫描攻击等信息。邮件分析：对网络中的邮件收发信息进行统计并以图表方式显示，通过此表，我们可以确定网络中发送与接收邮件的数量、比例，并帮助用户判断网络中是否有被邮件病毒感染并发起邮件蠕虫病毒攻击的主机。FTP分析：对网络中的FTP数据传输信息进行统计并以图表方式显示，通过此表，我们可以确定网络中通过FTP进行上传或下载的文件的数量、比例，并帮助用户判断网络中的FTP上传下载是否正常。HTTP分析：对网络中的HTTP网页访问信息进行统计并以图表方式显示，通过此表，我们可以确定网络中HTTP请求（网页访问）的数量、增长趋势，并帮助用户判断网络中的网页访问是否正常。5. 报表科来网络分析系统提供的报表功能可以将网络中的各种信息输出为html格式的报表文件，其中报表包括的内容有概要统计视图的内容、协议统计视图的内容、TOP 10的物理地址、TOP 10的IP地址、TOP 10的本地IP地址、TOP 10的远程IP地址、以及图表视图的内容。三、 科来网络分析系统5.0主要数据及数据的分析利用科来网络分析系统5.0中的主要数据及数据对应的分析利用简表如表1所示。节点浏览器主要数据区数据内容数据分析利用协议树状层级方式显示网络中通讯使用的协议有效查看网络中使用的服务；确定网络中是否存在异常数据通讯；确定网络中是否存在异常攻击（如ARP攻击）；IP端点树状方式显示当前网络中通讯所涉及到的IP地址查看网段内部主机间的流量；确定网络中活动的IP主机；确定活动主机工作是否正常；确定是否存在伪造IP地址的攻击；物理端点树状方式显示当前网络中通讯所涉及到的MAC地址和IP地址查看网段内部主机间的流量；确定网络中是否存在非法更改IP/MAC的情况；确定网络中是否存在伪造IP/MAC地址的攻击；概要统计视图主要数据区数据内容数据分析利用物理错误CRC错误重组错误过大数据包过小数据包网络中出现较多此类物理错误的数据包时，表示网络的物理层存在故障，具体可能是网络设备及线路干扰过大、网线RJ45头损坏、接触不良、线路两端设备速率不匹配等。802.3错误一次冲突错误多次冲突错误最大冲突错误延迟冲突错误网络中出现较多此类错误数据包时，表示网络的传输存在故障，具体可能是由网络阻塞、两端设备速率模式不匹配、传输线路超出规定范围、网络设备（如网卡）硬件错误等情况造成。网络流量总共流量广播流量组播流量得出网络的总体工作状态，如总共流量的利用率超过50%，表示网络的负载过重；广播流量或组播流量大于总流量的20%，表示网络中可能存在广播/组播风暴或ARP攻击。数据包大小分布网络中不同大小数据包分布情况确定网络的通讯质量；确定网络中是否存在碎片或溢出攻击等非正常访问。最常见的数据包大小网络中数量最多的数据包TOP10确定网络中使用最频繁的服务；确定网络中是否可能存在DOS/DDOS/DRDOS攻击。TCP数据包TCP同步数据包TCP结束连接数据包TCP复位数据包TCP错误检验和数据包TCP重传数据包TCP零窗口数据包确定网络中是否有扫描器在工作或是否有主机被扫描攻击；确定网络的通讯质量；确定中是否存在环路故障；确定对端主机是否存在故障。TCP连接初始化的TCP连接数成功建立的TCP连接数拒绝的TCP连接数复位的TCP连接数确定网络中的TCP通信是否正常；确定网络中是否有主机感染病毒；确定网络中存在端口扫描攻击或用户名密码破解攻击；SMTP分析使用SMTP协议进行邮件发送的信息确定网络中的邮件发送是否正常；确定网络中的SMTP服务器工作是否正常；确定网络中是否存在感染蠕虫病毒的主机；网络中是否存在破解邮箱用户名密码的情况。POP3分析使用POP3协议进行邮件接收的信息确定网络中的邮件接收是否正常；邮件的POP3服务器是否正常工作；网络中是否存在破解邮箱用户名密码的情况。FTP分析使用FTP进行文件上传下载的信息统计上传下载的数据；确定网络中FTP服务器的数据是否被未被允许的上传下载；确定网络中是否存在确解FTP账户的用户名密码情况。HTTP分析使用HTTP访问网页的信息对网络中的网页浏览进行统计；确定网络中是否存在使用HTTP代理的程序，如QQ、MSN等P2P软件。端点视图主要数据区数据内容数据分析利用All/Physical/IP三种端点数据网络中所有主机的占用情况总流量最大的主机发送流量最大的主机接收流量最大的主机收发数据包数最多的主机发送数据包最多的主机接收数据包最多的主机内部流量广播流量最大的主机确定网络中是否广播/组播风暴；帮助排查网络速度慢故障；帮助排查网络时断时续故障；帮助查找用户无法上网故障；帮助查找蠕虫病毒攻击；帮助查找DOS攻击；协议视图主要数据区数据内容数据分析利用协议数据占用的流量使用此协议的数据包数流量在总流量中的百分比数据包在总数据包中的百分比查看网络中各协议的流量占用及百分比占用；确定网络中占用流量最多的服务类型；帮助排查网络速度慢；帮助排查邮件蠕虫病毒攻击；帮助排查网络时断时续故障；帮助排查内无法上网等网络故障。数据包视图主要数据区数据内容数据分析利用原始数据包数据包列表数据包解码查看网络中的数据包的类型；确定网络中传输的数据包是否正确；确定目标主机是否运行客户端主机所请求的服务；查看源主机到目标主机间的路由时间（即链路长度）；查看目标主机对客户端主机请求的服务的响应时间；查看网络中传输的数据是否为紧急数据；确定数据包在网络中经过的路由跳数；确定网络中是否存在环路现象；确定用户访问目标主机某