ITSS实例文件-科来网络分析系统使用手册-工具模板

1、科來网络分析系统使用于册 科来网络分析系统使用手册 1. 系统需求 我们建议您将科来网络分析系统9.0女装在Windows XP/2003/Vista/7操作平台上因 为这些操作系统更为稳世。使用此产品对电脑要求并不高，我们提供了最低的系统要求.如 果您的网络比较大，需要分析的网络流量较多时，可以采用我们推荐的配置来安装我们的产 品0 1) 最小需求 P4 2.8GHz CPU 2 GB内存 lOM/lOOM自适应网卡 Windows XP/2003/Vista/7 Internet Explorer 6.0 或更高版本 2) 推荐需求 Intel Core Duo 2.4GHz 或更高 CP

2、U 4 GB以上内存 Internet Explorer 6.0 或更高版本 2. 安装环境 1)共享式网络 使用集线器(Hub)作为网络中心交换设备的网络即为共享式网络，集线器(Hub)以共享 模式工作在OSI层次的物理层。如果您局域网的中心交换设备是集线器(Hub),可将科 来网络分析系统可安装在局域网中任意一台主机上，此时科来网络分析系统可以捕获整个网 络中所有的数据通讯- 科来网堵分析系统2010 集线潘 工作主机 略由器 X 2) 交换式网络 使用交换机(Switch)作为网络的中心交换设备的网络即为交换式网络。交换机(Switch) 工作在0SI模型的数据链接层，交换机各端口之间能

3、有效地分隔冲突域，由交换机连接的 网络会将整个网络分隔成很多小的网域。如果您局域网的中心交换设备是交换机连接 (Switch),科来网络分析系统的安装有以下两种情况： 交换机具备镜像端口功能 当前网络中大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能，当您 网络中的交换机此具备功能时，可在交换机上配置好瑞口镜像(关于交换机镜像端口)，再 将科来网络分析系统可安装在连接镜像端口的主机上即可，此时科来网络分析系统可以捕获 整个网络中所有的数据通讯。 分OSQ 蹈由S 网管型交换机 Internet 科来网培分祈系统2010 檢苗険口 工作圭机 脛务ss 7滋 X 交换机不具备镜像端

4、口功能 当您网络中的交换机不具备端口镜像功能时，可通过以下两种方式实现对网络数据的捕获。 串接一个分路器（Tap） 在中大型网络中，可在交换机与网络出口设备（路由器或防火墙）之间串接一个单端口 分路器，并将科来网络分析系统安装在连接此分路器端口的主机上，此时科来网络分析 系统可以捕获整个网络中的所有进出数据通讯。 路由SS 昂Port A Port B 老通交换机nsg Si 2p B Port 科来网络分析系统2010 丫叩 A Port 眼务器 服务遥 串接一个集线器（Hub） 在小型网络中，可在交换机与网络出口设备（路由器或防火墙）之间串接一个集线器 （Hub）,并将科来网络分析系统安装

5、在连接此集线器任意端口的主机上，此时科来网 络分析系统可以捕获整个网络中的所有进出数据通讯。 踣由器 科来岡络分析累统2010 服务器 眼隽器 Internet j 3）检測一个网段 在某些情况下您只需要对网络中某一个网段（如某一个部门）的数据通讯进行捕获.如果连 接此网段的交换机具备端口镜像功能，那么可将科来网络分析系统安装在连接此交换机镜像 端口的主机上，此时科来网络分析系统可以捕获此网段主机的所有数据通讯；如果连接此 网段的交换机不具备镜像端口功能，那么可在此交换机与它的上层设备之间串接一个集线器 或分路器或具备端口镜像的交换机，并将科来网络分析系统安装在连接此设备的主机上.此 时科来网

6、络分析系统可以捕获此网段主机的所有进出数据通讯。 眾务器组 应用眼隽器组 注意：大多数交换机端口镜像的设宜方法都存在差异，如果您在设置时遇到困难可参见交 换机随机配套的方盘或说明书，或者访问 获取镜像端口 的配豊 信息，更详细的安装环境请参见科来网络分析系统9程序自带的帮助文件。 科来网络分析系统9主要功能介绍 1. 界面预览 安装好后，双击桌面上科来网络分析系统的快捷方式，打开系统主界而，输入产品序列号和 安装号（可以先不用激活，不过在未激活只能使用15次），然后单击主界面工具栏上的“开 始按钮，科来网络分析系统开始捕获当前网络中的数据通信，并自动将当前工程文件命令 为工程一,如图1所示。

7、（注：在科来网络分析系统9中，工程是指对捕获任务进行设置和过滤的让划安排，同时 也是捕获数据的显示区域和容器，并且可将此区域或容器中的数据保存到磁盘。） 13轲1歩 Ytogua JI PASS6 V vopua 9迪KM引 V 丽3瑁9 ? : T:烹X夕0 /述进 他 栉M 3 _坎3Be 8d昭 屯 tzittjBo. . C3S / 朿血T?匸75订了订云丫而WT运云云士T 蔬向阪 T町而T元订MefiW忘1ifl I 翊I 诃 1- Sf AlAtt (MW Zi* US ii.4 UUIOk 14 14位，用户可以快速准 确地査看该节点对应的网络数据通讯。节点浏览器中的节点类型有三

8、种，协议、物理端点、 IP端点，详细介绍如下。 协议：以树状层级方式显示出当前网络中的通讯所使用的协议，当网络中出现使用某协议进 行通讯的数据包时，系统自动将此协议添加到协议节点的相应位置。选中某协议时，主视图 显示区中各视图均只显示使用该协议进行通讯的信息。如当用户希望査看访问互联网（默认 情况下使用标准的HTTP协议）的信息时，可通过如图2的方式对协议进行世位，此时, 主视图区的所有视图均只显示网络中使用HTTP协议通讯的信息。列外，使用协议节点, 还可以有效得出网络中正在使用的服务，从而确定网络中是否存在非常用协议的异常数据通 讯，如非法ARP攻击。 M 竹巾I wttar*7 y q(

9、tts手 方TT厉es 19甫湾蜓81 74 S TT gJOUkCO I z - KTt Ec fWr Emdcm 他:,Eimc:uir7gicf77r!E gP wrgg wTTPsiaWl sni fi 0 Yw .T , T I: T 工 TiMik-i T NWSN in T MC*V|Ji T T e4x m 0 we勺M3 M VaPVO BeKwwoii J 9 园SBE NHI 9nl s nriss 25的类型为All。 分(FHfS 1. HIT*皓分特料 9 ：e穿/sue 越 $亠fi r ! xa B 豹3少J :丁 7= ffi之型1 仃昨啊.科占十 2.辭87

10、 dJ (LaJ) BHffl v,；ptin /itaa町IB血列两gQdfctf 冋m HE ioai(Bn - LJUtW - CTHKtti-. NcHrtT讶刼 jnjnffr?r:nr*n T IB T tvitmtl 114 S TPMI a T uOD ih T T T JW VitaCbai T；50 A T ft T e巾 T T 6 聽划D“) * ft M RgX 如 d *寺(堆(alZ6 S- n B- mg” 9- irjKun 1 gmetw 0讥,ie2(B bAi-Hki 1* 2 i；i4WJS2?2 tSoiJSMn W 3打柿 ，弹3巧片3、 1M4(

11、44,7?n Z4H4朋山 tidZA 林 iSriM.jnpo 0m如初 如仃 HSI 和(iMM 沖 tD at1 17T0MW1 nujiniutu 113LA,1Mlea44S iO4ri7j0ftSS61t TCOttA. 3G 0 0* 号? 存 甲含静 .丄 R 3Oenwi t JUonstp 申Auh：, JOlMS 亦】 仃MUr lA*E,kGg41; J A(vex;： iJ.ll3C.t*E SWA.； 二 H !? 1 仇etwtjtefl s?m nu. 、giMBta J 八aau做右32is 、“冇討2址 I 巧 22、轻 ZJQ (kll.lMOMHei H

12、E 啊 3， E0.HJ7J04tAf1 tojzmwt 八 mSMUW McMfraFmn Mt? Ve4is“tc （图8数据包视图） 5母 右云Off VQfttimm 64 b OoAflHdT戶 0 iN R MS6M 8 8aS ui T JWJM T Mt4T W*Om( T WJ T Z T Rg T a T 仏 TRC1) Libpcap (tcpdump,Ethereal,etc.) (*.cap) Microsoft Network Monitor2.x (*.cap) Novell LANalyer (*.tr1) Network Instruments Observe

13、r v9.0 (*.bfr ) NetXRay2.0,and Windows Sniffer (Leap) Sun-Snoop (* Snoop) Visual Network Traffic Capture (*cap) 导出 对于捕获数据的保存，你也可以将数拯包文件导出到一个待定格式的文件。科来网络分 析系统9.0除了支持基本的esepkt格式，也支持通用的Sniffers Omnipeek等工具 的文件格式。您可以自;义导出保存为不同格式的数据包文件，如下图所示: 单击保存类型的下拉列表框，可以保存为以下类型的数据包格式: Colasoft Packet File (v6) (*xscp

14、kt) Colasoft Raw Packet File (* rawpkt Accellent SViews Packet File (*5vw) EtherPeek Packet File (V9 ) (*.pkt) HP Unix Netti Packet File (*.TRCO;TRC1) Libpcap (tcpdump,Ethereal,etc.) (*.cap) Microsoft Network Monitor2.x *.cap) Novell LANalyer (*.tr1) Network Instruments Observer v9.0) NetXRay2.0,and

15、 Windows Sniffer (*xap) 、科来网络分析系统9主要数据及数据的分析利用 科来网络分析系统9中的主要数据及数据对应的分析利用简表如表1所示。 节点浏览器 主要奴据区 数据内容 数据分析利用 协议 树状层级方式显示网络中通 讯使用的协议 有效査看网络中使用的服务： 确定网络中是否存在并常数据通讯：确定网络 中是否存在界常攻击（如ARP攻击h IP端点 树状方式显示严 1前网络中通 讯所涉及到的IP地址 査看网段内部主机间的 确定网络中活动的IP主机： 确定活动主机工作是否正常： 确定是否存在伪造IP地址的攻击： 物理端点 树状方式显示艸前网络中通 讯所涉及到的MAC地址和 I

16、P地址 査看网段内部主机间的流fi： 确定网络中是否存在非法更改IP/MAC的情况： 确定网络中是否存在伪造IP/MAC地址的攻击： 概要统计视图 主耍数据区 数据内容 数据分析利用 物理错溟 CRC错渎 重组错谋 过大数据包 过小数据包 网络中出现校多此类物理错误的数据包时表 示网络的物理层存在故障.具休可能是网络设 备及线路干扰过大、网线RJ45头损坏.接触不 良.线路两端设备速率不匹配等. 802.3错误 一次冲突错谋 乡次冲夹错谋 最大冲夹错谋 建迟冲突错決 网络中出现较多此类错误数据包时表示网络 的传输存在故障，具休可能是由网络阻塞、两 端设备速率模式不匹配.传输线路超出规定范 网络

17、设备（如网卡）ftlHT错误等情况造成。 网络流fi 总共流fi 广播流fi 组播流S 御出网络的总体工作状态.如总共流g的利用 率超过50%.表示网络的负栽过Sb广播流fi 或组播流a大于总流量的20%.表示网络中可 能“在广播/组播凤暴或ARP攻击。 数据包大小分布 网络中不同大小数据包分布 情况 确定网络的通讯质fi： 确定网络中是否存在碎片或溢出仪击等非正常 访问。 最常见的数据包大小 网络中数g最多的数据包 TOP10 确定网络中便用最频繁的股务： 确定网络中是否可能存在 DOS/DDOS/DRDOS 攻击。 TCP数据包 TCP同步数据包 TCP结束连接数据包 TCP复位数据包 T

18、CP错谋检验和数据包 确定网络中是否有扫描器在工作或是否有主机 被扫描攻击： 确定网络的通讯质fi： 确定中是否存在环路故障： TCP重传数据包 TCP零窗口数据包 确定对端主机是否存在故障C TCP连接 初始化的TCP连接数 成功建立的TCP连接数 拒绝的TCP连接数 复位的TCP连接数 确定网络中的TCP通信是否正常： 确定网络中是否有主机感染病毒： 确定网络中存在端口扫描攻击或用户名密码破 解攻击： SMTP分析 使用SMTP协议进行鵬件发 送的信息 确定网络中的邮件发送是否正常： 确定网络中的SMTP服务器工作是否正常： 确定网络中是否存在感染孀虫橋毒的主机： 网络中是否存在破解邮箱用

19、户名密码的情况- POP3分析 使川POP3协议进行件接 收的信息 确定网络中的邮件接收是否正常： |件的POP3服务器是否正常工作： 网络中是否存在破解邮箱用户名密码的情况。 FTP分析 使川FTP进行文件上传下栽 的信息 统il上传下载的数据： 确定网络中FTP W务器的数据是否被未被允许 的上传下载： 确定网络中是否存在确解FTP账户的用户名密 码情况。 HTTP分析 使川HTTP访问网贞的信息 对网络中的网页浏览进行统计： 确定网络中是否存在使川HTTP代理的程序， 如QQ、MSN等P2P软件. 端点视图 主要数据区 数据内容 数据分析利用 All/Physical/IP 三种端 点数

20、据 网络巾所有主机的占用情况 总流fi昴大的主机 发送流fi最大的主机 接收流fi最大的主机 收发数据包数最多的主机 发送数据包最多的主机 接收数据包最多的主机 内部流fi 广播流S最大的主机 确定网络中是否广播/组播风暴： 帮助推査网络速度慢故障： 帮助携查网络时断时续故障： 帮助査找川户无法上网故障： 帮助査找蠕虫病毒攻击： 帮助査找DOS攻击： 协议视图 主要数据区 数据内容 数据分析利用 协议数据 占用的流S 使川此协议的数据包数 流fi在总流a中的百分比 数据包在总数据包中的百分 比 査看网络中各协议的流fi占用及百分比占用： 确定网络中占用流S最多的服务类型： 帮助推査网络速度慢：

21、 帮助携查脇件蠕虫炳fli攻击： 帮助推査网络时斷时续故障： 帮助推査内无法上网等网络故障。 数据包视图 主要数据区 数据内容 据分析利用 原始数据包 数据包列表 数据包解码 査看网络中的数据包的类型： 确定网络中传输的数据包是否正确： 确定目标主机是否运行客户端主机所请求的服 务： 直看源主机到目标主机间的路由时间（即链路 长度h 査看目标主机对客户端主机请求的股务的响应 时间： 査看网络中传输的数据是否为紧急数据： 确定数据包在网络中经过的路由跳数： 确定网络中是否存在环路现欽： 确定用户访问目标主机某服务的步機。 连接视图 主要数据区 数据内容 TCP连接列表 General TCP连接

22、信息 日志视图 主要数据区 HTTP/FTP/SMTP/POP3 日出信息 图表视图 主要数据区 错误数据包 Stream Packets Logs 数据内容 HTTP请求数 邮件信息 FTP传输 数据内容 物理错误包 802.3错误包 错谋包对比正常包 数据分析利用 査看网络中的TCP通讯情况: 査看两台主机之间的通讯内容： 査看TCP连接的原始操作信息； 确定网络中是否存在TCP端口扫描攻击： 确定网络中是否存在基于TCP协议的服务的账 户用户名密码破解攻击： 确定网络中是否存在邮件嫦虫摘毒攻击： 确定网络中是否存在长时间连接且流量小的 TCP连接（QQ/MSN使川HTTP代理）： 査看TCP通讯的内容、步骤.确定其是否正常。 数据分析利用