1、科來網絡分析系統5.0 使用介紹軟件使用 科來網絡分析系統 5.0 使用介紹一、系統安裝1. 系統需求1)最小需求P3 500 CPU256 MB內存10M/100M自適應網卡Windows 2000(SP4或 SP4 更高 ) ，Windows XP(SP1或 SP1 以上 ) ，Windows 2003Internet Explorer 5.5或更高版本2)推薦需求P4 2.0G CPU512 MB 或 512 MB以上內存Inter 或 3COM 網卡Windows 2000(SP4或 SP4 以上 ) ，Windows XP(SP1或 SP1 以上 ) ，Windows 2003Int

2、ernet Explorer 5.5或更高版本2.安裝環境1)共享式網絡使用集線器（ Hub ）作為網絡中心交換設備的網絡即為共享式網絡，集線器（Hub ）以共享模式工作在 OSI 層次的物理層。如果您局域網的中心交換設備是集線器（Hub ），可將科來網絡分析系統可安裝在局域網中任意一臺主機上，此時科來網絡分析系統可以捕獲整個網絡中所有的數據通訊。2)交換式網絡使用交換機 （ Switch）作為網絡的中心交換設備的網絡即為交換式網絡。交換機（ Switch）工作在 OSI 模型的數據鏈接層，交換機各端口之間能有效地分隔沖突域，由交換機連接的成都科來軟件有限公司電話：

3、mail ： sales傳真：upport1/18科來網絡分析系統5.0 使用介紹網絡會將整個網絡分隔成很多小的網域。如果您局域網的中心交換設備是交換機連接（Switch），科來網絡分析系統的安裝有以下兩種情況：交換機具備鏡像端口功能當前網絡中大多數三層或三層以上交換機以及一部分二層交換機都具備端口鏡像功能，當您網絡中的交換機此具備功能時，可在交換機上配置好端口鏡像（關于交換機鏡像端口），再將科來網絡分析系統可安裝在連接鏡像端口的主機上即可，此時科來網絡分析系統可以捕獲整個網絡中所有的數據通訊。交換機不具備鏡像端口功能當您網絡中的交換機不具備端口鏡像功能時，可通過以

4、下兩種方式實現對網絡數據的捕獲。串接一個分路器（Tap ）在中大型網絡中，可在交換機與網絡出口設備（路由器或防火墻）之間串接一個單端口分路器， 并將科來網絡分析系統安裝在連接此分路器端口的主機上， 此時科來網絡分析系統可以捕獲整個網絡中的所有進出數據通訊。串接一個集線器（Hub）在小型網絡中，可在交換機與網絡出口設備（路由器或防火墻）之間串接一個集線器（ Hub ），并將科來網絡分析系統安裝在連接此集線器任意端口的主機上， 此時科來網絡分析系統可以捕獲整個網絡中的所有進出數據通訊。3) 檢測一個網段在某些情況下您只需要對網絡中某一個網段（如某一個部門） 的數據通訊進行捕獲。如果連接此網段的交換

5、機具備端口鏡像功能，那么可將科來網絡分析系統安裝在連接此交換機鏡像端口的主機上，此時科來網絡分析系統可以捕獲此網段主機的所有數據通訊；如果連接此網段的交換機不具備鏡像端口功能，那么可在此交換機與它的上層設備之間串接一個集線器或分路器或具備端口鏡像的交換機，并將科來網絡分析系統安裝在連接此設備的主機上，此時科來網絡分析系統可以捕獲此網段主機的所有進出數據通訊。注意 : 大多數交換機端口鏡像的設置方法都存在差異，如果您在設置時遇到困難，可參見交換機隨機配套的方盤或說明書，或者訪問<獲取鏡像端口的配置信息，更詳細的安裝環境請參見科來網絡分析系統5.0程序自帶的幫助文件。成都科來軟件有限公司電話

6、：mail ： sales傳真：upport2/18科來網絡分析系統5.0 使用介紹二、科來網絡分析系統5.0主要功能介紹1. 界面預覽安裝好后， 雙擊桌面上科來網絡分析系統的快捷方式，打開系統主界面，輸入產品序列號和安裝號（可以先不用激活，不過在未激活只能使用15 次），然后單擊主界面工具欄上的“開始”按鈕，科來網絡分析系統開始捕獲當前網絡中的數據通信，并自動將當前工程文件命令為“工程一 ”，如圖 1 所示。（注：在科來網絡分析系統5.0中，工程是指對捕獲任務進行設置和過濾的計劃安排，同時也是捕獲數據的顯示區域和容器，并且可將此區域或容

7、器中的數據保存到磁盤。）（圖 1科來網絡分析系統5.0 主界面）從圖 1 中可知，科來網絡分析系統5.0主界面布局從上到下為標題欄、菜單欄、工具欄、主視圖區和狀態欄； 主視圖區位于界面的中間部分， 它主要由三個部分組成， 左上部的節點瀏覽器、左下部的工程狀態欄、右邊的視圖內容顯示區，下面分別對其進行介紹。成都科來軟件有限公司電話：mail ： sales傳真：upport3/18科來網絡分析系統5.0 使用介紹2. 節點瀏覽器節點瀏覽器最大的作用， 是能快速定位需要查看的節點， 通過節點的定位， 用戶可以快速準確地查看該節點對應的網絡數據

8、通訊。節點瀏覽器中的節點類型有三種，協議、物理端點、 IP 端點，詳細介紹如下。協議 ：以樹狀層級方式顯示出當前網絡中的通訊所使用的協議，當網絡中出現使用某協議進行通訊的數據包時，系統自動將此協議添加到協議節點的相應位置。選中某協議時， 主視圖顯示區中各視圖均只顯示使用該協議進行通訊的信息。如當用戶希望查看訪問互聯網（默認情況下使用標準的HTTP 協議）的信息時，可通過如圖2 的方式對協議進行定位，此時，主視圖區的所有視圖均只顯示網絡中使用HTTP協議通訊的信息。另外，使用協議節點，還可以有效得出網絡中正在使用的服務，從而確定網絡中是否存在非常用協議的異常數據通訊，如非法ARP 攻擊。（圖2節

9、點瀏覽器的協議節點中定位HTTP協議）IP端點：以樹狀方式顯示當前網絡中的通訊所涉及到的IP 地址， IP 端點以邏輯IP 地址為顯示的依據， 它的下級分類里常用的有本地子網、私有網絡、廣播地址、 組播地址、 Internet地址等， 系統捕獲到某個IP 地址時會自動將其加入到相應的分類中。通過 IP 端點，用戶可以方便地定位一個網絡，一個網段，或一個IP 主機，定位某個節點時，主視圖顯示區中各視圖均只顯示與該節點有關的數據通訊信息。圖3 中，將節點定位在了IP 端點下本地子網成都科來軟件有限公司電話：mail ： sales傳真：upp

10、ort4/18科來網絡分析系統5.0 使用介紹的 /24網段上，此時主視圖區的所有視圖均只顯示與/24主機相關的數據通訊信息。另外，使用IP 端點節點，可以有效確定任何網段內部主機間的流量；可以有效得出當前網絡中活動的IP 主機，并確定這些活動主機是否正常，即是否為網絡中不存在的IP 主機（偽造IP ），從而確定網絡中是否存在偽造IP 地址的攻擊。網段（圖 3節點瀏覽器的IP 端點中定位/24網段）（圖 4 節點瀏覽器的物理端點中定位D-LINK:47:E8:DF主機）物理端點 ：以樹狀方式顯示當前網絡中的通訊所涉及到的MAC

11、地址和 IP 地址，物理端點以網絡的物理拓撲結構為顯示的依據，它的下級分類里默認有本地網段、網關、廣播地址、組播地址，系統捕獲到某個MAC 地址或 IP 地址時會自動將其加入到相應的分類中。通過物理端點，用戶可以方便地定位一個網絡，一個MAC 地址（即一塊網卡）或一個IP 主機，定位某個節點時，主視圖顯示區中各視圖均只顯示與該節點有關的數據通訊信息。圖4 中，節點被定位在物理端點下本地網段中MAC 地址為 D-LINK:47:E8:DF的主機，此時主視圖顯示區的所有視圖均只顯示與D-LINK:47:E8:DF主機有關的數據通訊信息。另外，使用物理端點節點，可以有效確定任何網段內部主機間的流量；

12、通過MAC 地址與 IP 地址的成都科來軟件有限公司電話：mail ： sales傳真：upport5/18科來網絡分析系統5.0 使用介紹對應比較，可以有效確定網絡中是否存在用戶私自更改否存在偽造IP 地址或 MAC 地址的攻擊。IP或MAC的情況，以及網絡中是3. 工程狀態欄主要用于顯示當前工程文件的狀態統計信息， 具體包括數據包過濾器、數據包、丟失的數據包、接受的數據包、拒絕的數據包和緩存使用率，如圖錯誤數據包、 捕獲的5 所示。（圖 5工程狀態欄）單擊 “丟失的數據包 ”、“接受的數據包 ”、“拒絕的數據包 ”、“緩存使用率 ”，

13、可將其顯示方式在具體值和百分比間切換；雙擊 “數據包過濾器 ”、“接受的數據包 ”、“拒絕的數據包 ”可打開過濾器設置對話框，雙擊 “緩存使用率 ”將打開常規設置對話框。4. 主視圖顯示區主視圖顯示區是系統與用戶最主要的交流平臺， 它最大的作用是顯示網絡中各種數據通訊信息。它包括概要統計、節點、協議、數據包、連接、日志、圖表七個視圖，用以顯示節點瀏覽器中選定節點所對應的不同數據通訊信息。（注： 在節點瀏覽器中選擇不同節點時， 各視圖中的數據會發生相應的改變，指明節點的位置，均表示節瀏覽器中選定的是根節點，即當前工程名。 ）以下如未明確概要統計 ：概要統計用來顯示當前網絡通訊的各種信息統計值，

14、通過這些值， 我們可以知道網絡的流量占用、數據包大小分布、錯誤包以及 TCP 連接等信息，具體包括：統計信息：顯示科來網絡分析系統開始運行的日期、時間，以及持續運行的時間。物理錯誤：顯示網絡中的物理錯誤數據包數，包括CRC 錯誤、對齊錯誤、過大數據包錯誤和過小數據包錯誤。如果系統捕獲到網絡中有較多此類物理錯誤的數據包，表示當前網絡的物理層可能存在故障，具體可能是由網絡設備及線路干擾過大、網線 RJ45 頭損壞、接觸不良、線路兩端設備速率不匹配等情況造成。802.3錯誤：顯示網絡中IEEE802.3錯誤的數據包數，包括802.3一次沖突錯誤、802.3多次沖突錯誤、802.3最大沖突錯誤和802

15、.3延遲發送錯誤。當網絡中出現較成都科來軟件有限公司電話：傳真：028-85120922028-851209116/18Email ： sales support科來網絡分析系統5.0 使用介紹多此類物理數據包時， 表示網絡的傳輸存在故障， 具體可能是由網絡阻塞、 兩端設備速率模式不匹配、傳輸線路超出規定范圍、網絡設備（如網卡）硬件錯誤等情況造成。網絡流量： 顯示網絡中數據通訊的流量占用情況，包括總共流量、 廣播流量和組播流量。對每種流量，又可詳細統計出其字節，數據包，每秒數據包，利用率等信息，通過這些信息，我們可以知道當前網絡的總體工作狀態：當總共流量的利用率超過50% ，表示網絡的負載過重

16、；廣播流量或組播流量大于總流量的20% ，表示網絡中可能存在廣播/ 組播風暴或ARP 攻擊。數據包大小分布：顯示網絡中數據包的大小分布情況，不同大小的數據包，都可對其總共字節、數據包數、 每秒數據包數、 以及利用率等信息進行統計，通過數據包大小分布，可以知道網絡的通訊質量，如當<=64或 >=1518的數據包過多，占用總流量比例過大時，表示網絡中可能存在非正常的網絡通訊，如碎片或數據包溢出攻擊。最常見的數據包大小： 顯示網絡中數量最多的數據包的大小以及這些數據包的流量占用情況， 包括這些數據包的個數，占用字節數， 每秒數據包數以及利用率等信息。通過這些信息， 我們可以知道當前網絡通

17、訊中最多的數據包是什么，并判定其相應的服務， 如1518 和 64 字節左右的數據包排在前兩位，表示網絡中可能存在大文件的上傳下載操作；另外，如網絡中某固定大小的數據包占用流量及利用率均很高，表示網絡中可能存在 DOS/DDOS/DRDOS攻擊。TCP 數據包：顯示網絡中的TCP 數據包數，包括TCP 同步數據包、 TCP 結束連接數據包、 TCP 復位數據包、 TCP 錯誤檢驗和數據包、TCP 重傳數據包以及 TCP 零窗口數據包，對每一種 TCP 數據包，都可以顯示出其占用字節數，數據包個數，每秒數據包數以及利用率等信息，通過這些信息，可以知道網絡中的通訊是否正常。如TCP 同步數據包和

18、TCP 復位數據包大大超過其他類型數據包時，表示網絡中可能有掃描器在工作，或者網絡中有主機正在被掃描攻擊；當TCP 重傳數據包過多時，則表示網絡的通訊質量極低，可能存在環路現象；當TCP 零窗口數據包較多時，表示對端主機當前無法接受數據，對方主機系統可能存在故障。TCP 連接：顯示網絡中的TCP 連接數，可統計出初始化的TCP 連接數、成功建立的TCP 連接數、 拒絕的 TCP 連接數和復位的TCP 連接數。 通過對這些信息的統計， 我們可以知道網絡中的 TCP 通信是否正常，如初始化的TCP 連接數較多，而成功建立的TCP 連接數很少時，表示網絡中的主機可能感染病毒，且此病毒正在試圖連接其他

19、主機的某些 TCP 端口以進行感染； 拒絕的 TCP 連接數較多時， 表示網絡可可能存在端口掃描攻擊或用戶名密碼破解攻擊。SMTP 分析：顯示使用SMTP 協議進行郵件發送的信息，包括建立的SMTP 連接數，失敗的 SMTP 連接數、服務器應答錯誤數，以及發送的郵件數等等。通過這些數據，我們可以確定網絡中的郵件發送是否正常，如網絡中的 SMTP 服務器工作是否正常 （包括工作效率）；網絡中的 SMTP 服務器是否可能被黑客控制，正被用于處理垃圾郵件；網絡中是否存在感染蠕蟲病毒的主機；網絡中是否存在破解郵箱用戶名密碼的情況。POP3 分析：顯示使用POP3 協議進行郵件接收的信息，包括建立的PO

20、P3 連接數，失敗的 POP3 連接數、服務器返回錯誤數，以及接收的郵件數等等。通過這些數據，我們可以確定網絡中的郵件接收是否正常，如郵件的POP3 服務器是否正常工作（包括其工作效率） ；網絡中是否存在破解郵箱用戶名密碼的情況。FTP 分析：顯示網絡中FTP 傳輸數據包的統計信息，包括FTP 控制連接數、登錄失敗次數、 成功的數據連接數、以及訪問的服務器數等。通過這些信息，我們可以確定網絡中進行 FTP 數據上傳下載的情況， 包括 FTP 服務器的數據是否被未被允許的上傳下載，成都科來軟件有限公司電話：mail ： sales傳真：up

21、port7/18科來網絡分析系統5.0 使用介紹網絡中是否存在FTP 賬戶的用戶名密碼的情況，以及對上傳下載的數據進行統計。HTTP分析：顯示網絡中上網的統計信息，包括HTTP連接數、 HTTP請求數、通過HTTP 端口傳輸非HTTP 數據的連接數、訪問過的HTTP 服務器數等。通過這些信息，我們可以對網絡中的網頁瀏覽進行統計，并確定網絡中是否存在使用HTTP代理的程序，如通過HTTP 端口傳輸非HTTP 數據的連接數較大時，說明網絡中可能正在運行使用 HTTP 代理服務器工作的程序，如QQ 、 MSN 等 P2P 軟件。端點 ：端點視圖可以有效顯示出當前網絡通訊所涉及到的節點情況，有三種端點

22、類型，如圖6 所示，當前選定的類型為All 。All 、 Physical、 IP（圖6端點視圖）從上圖可以清楚地得出當前網絡中所有主機（包括一個網段、 一個物理 MAC 地址、一個 IP ）的具體流量占用情況，如總流量最大的主機、發送流量最大的主機、接收流量最大的主機、收發數據包數最多的主機、發送數據包最多的主機、接收數據包最多的主機、內部流量、以及廣播流量最大的主機等信息。通過這些信息，我們可以確定網絡中是否廣播 / 組播風暴，并幫助用戶排查網絡速度慢、網絡時斷時續、蠕蟲病毒攻擊、 DOS 攻擊、以及用戶無法上網等網絡故障。協議 ：協議視圖可以有效顯示網絡中數據通訊所使用的協議，協議采用樹

23、狀層級方式顯示，對每一種協議， 都對其占用的流量、使用此協議的數據包個數、此協議的流量在總流量中的百分比、以及使用此協議的數據包在總數據包中的百分比進行了統計，如圖7 所示。通過成都科來軟件有限公司電話：mail ： sales傳真：upport8/18科來網絡分析系統5.0 使用介紹協議視圖對各視圖占用流量及百分比的統計，用戶可以得出當前網絡中占用流量最多的協議，即當前網絡中占用流量最多的服務類型， 并幫助用戶排查網絡速度慢、 郵件蠕蟲病毒攻擊、網絡時斷時續以及用戶無法上網等網絡故障。（注： 查看協議占用的比例時，需對應科來網絡分析系統

24、協議列表中各層次的協議關系，在同級協議之間比較，如 TCP 與 UDP ，HTTP 與 SMTP 等，如果使用 TCP 與 DNS 等不同級的協議進行比較，得出的結果將不準確。 ）（圖 7協議視圖）數據包 ：數據包視圖用來顯示網絡中數據通訊的原始信息，對其進行原始解碼分析，它包括數據包顯示區和下方的解碼視圖區，解碼的內容包括數據包所有層次的信息。通過解碼信息，我們可以知道，網絡中的數據包的類型、網絡中傳輸的數據包是否正確、網絡中IP 數據包的版本； 并確定目標主機是否在運行客戶端主機所請求的服務、源主機到目標主機間的路由時間（即鏈路長度） 、目標主機對客戶端主機請求的服務的響應時間、網絡中傳輸

25、的數據是否為緊急數據、 數據包在網絡中經過的路由跳數、網絡中是否存在環路現象、以及用戶訪問目標主機某服務的原始步驟等等。其界面如圖8 所示。成都科來軟件有限公司電話：mail ： sales傳真：upport9/18科來網絡分析系統5.0 使用介紹（圖 8數據包視圖）連接 ：連接視圖專指 TCP 連接，用來顯示網絡中 TCP 連接的信息，包括成功的、失敗的、活動的、停止的、正在建立的、已建立的、正在關閉的、已關閉的。并在下方的子窗口中顯示當前選定連接的基本通信信息、TCP 數據流重組信息、原始數據包信息、對應的日志文件。對于每條連接，都可

26、統計其源地址、目標地址、當前狀態、協議、該連接收發的數據包及這些數據包的大小等信息。通過這些信息， 我們可以確定出當前網絡中TCP 通訊的情況，如查看兩臺主機之間的通訊內容、網絡中是否存在TCP 端口掃描攻擊、網絡中是否存在基于 TCP 協議的服務的賬戶用戶名密碼破解攻擊、網絡中是否存在郵件蠕蟲病毒攻擊、網絡中是否存在長時間連接且流量小的TCP 連接（ QQ/MSN 等程序使用 HTTP 代理即為此現象）；下方的TCP 數據流重組，可以方便地得出當前選定連接的原始操作信息，通過TCP連接的原始信息，我們可以確定這些TCP 通訊的內容、步驟，并斷定此連接是否正常。其界面如圖 9 所示， 圖中顯示

27、的內容表示當前的連接是一個通過HTTP 協議訪問網頁的情況。成都科來軟件有限公司電話：mail ： sales傳真：upport10/18科來網絡分析系統5.0 使用介紹（圖 9連接視圖）日志 ：日志視圖記錄網絡中用戶的高級網絡運用，包括HTTP 請求（網頁瀏覽） ，郵件信息（通過 SMTP/POP3進行的郵件收發）以及FTP 傳輸（通過FTP 進行的數據上傳下載） ，并可根據用戶的需要將這些日志信息保存到硬盤以備查閱。其界面如圖10 所示，當前選定的是 HTTP 請求的日志視圖。成都科來軟件有限公司電話：ma

28、il ： sales傳真：upport11/18科來網絡分析系統5.0 使用介紹（圖10日志視圖）在 HTTP 請求日志視圖中，每條日志均表示由用戶發起的一個HTTP 請求，對于日志信息，系統可以捕獲并統計出其對應的客戶端地址、服務端地址、請求網址、請求方法、 服務器響應、服務器返回的狀態碼、以及這條日志所持續的時間等信息。通過這些信息，我們可以有效查看網絡中所有用戶或者指定某用戶的網頁瀏覽情況（包括請求/ 被請求的網址信息，以及訪問的頻率） ，從而確定網絡中是否存在惡意網頁訪問（攻擊Web 服務器 80 端口）、以及 Web 服務器的工作狀態是否正常。在郵件信息日

29、志視圖中，每條日志均表示用戶通過 SMTP/POP3 協議成功進行的郵件收發操作， 對于每條日志信息，可以捕獲并統計出其對應客戶端地址、 服務端地址、郵件發送者及其郵件地址、 郵件接收者及其郵件地址、 郵件抄送者、 郵件客戶端軟件、 郵件內容的大小、郵件是否攜帶附件、 以及這條日志對應操作的精確時間。 通過這些信息， 我們可以有效查看網絡中所有用戶或指定用戶的郵件收發情況， 從而確定網絡中的郵件收發是否正常、 是否存在郵件蠕蟲病毒攻擊、是否存在對郵件服務器的攻擊等情況。在 FTP 傳輸日志視圖中，每條日志均表示用戶從 FTP 服務器上傳 / 下載一個文件的操作。對于每條日志信息， 可以捕獲并統

30、計出其對應客戶端地址、服務器端地址、 賬號信息、 操作類型（上傳或下載） 、傳輸模式（主動或被動）、傳輸的總字節數和總包數等信息。通過這些信息，我們可以有效查看網絡中的FTP 文件傳輸情況，從而確定網絡中的FTP 傳輸是否正常、網絡中是否存在FTP 攻擊（攻擊相應主機后通過FTP 方式對其進行上傳下載文件的操作）等情況。成都科來軟件有限公司電話：mail ： sales傳真：upport12/18科來網絡分析系統5.0 使用介紹圖表 ：圖表視圖的內容與統計概要的內容相同，它使用圖表方式形象地顯示當前的網絡通訊情況，包括錯誤數據包、常規、T

31、CP 分析、郵件分析、FTP 分析和 HTTP 分析子項，每個子項中都可通過不同顯示時間以及不同圖表類型等情況進行顯示。其界面如圖11 所示，圖中顯示的是數據包大小分布情況。（圖11圖表視圖）錯誤數據包：包括物理錯誤包的統計信息、 802.3 錯誤包的統計信息、以及錯誤包與正常包的對比信息。 通過這些信息， 我們可以確定網絡的工作狀態是否合理、 網絡的鏈路層是否存在故障、網絡的傳輸是否存在故障、網絡設備（如網卡）是否存在硬件錯誤、傳輸線路是否超過規定范圍、網絡對端設備的速率是否匹配、線路干擾是否過大等情況。常規： 對網絡整體或用戶選定節點的常規信息進行統計并以圖表顯示，包括網絡利用率、數據包數

32、量、 數據包大小分布等情況，通過這些信息， 我們可以確定網絡或用戶選定節點的主機的工作狀態是否過于繁忙、 網絡中是否可能存在網絡攻擊、 網絡中數據包的增長趨勢圖等情況。TCP 分析：對網絡中的TCP 連接進行統計并以圖表方式顯示，包括TCP 連接、包、 TCP 同步包、結束包和復位包等信息。通過這些信息，我們可以確定網絡內包的傳輸質量、網絡中是否存在自動運行的重傳攻擊、是否存在端口掃描攻擊等信息。TCP 數據TCP 數據郵件分析： 對網絡中的郵件收發信息進行統計并以圖表方式顯示，通過此表， 我們可以確定成都科來軟件有限公司電話：傳真：028-85120922028-8512091113/18E

33、mail ： sales support科來網絡分析系統5.0 使用介紹網絡中發送與接收郵件的數量、 比例，并幫助用戶判斷網絡中是否有被郵件病毒感染并發起郵件蠕蟲病毒攻擊的主機。FTP 分析：對網絡中的FTP 數據傳輸信息進行統計并以圖表方式顯示，通過此表，我們可以確定網絡中通過 FTP 進行上傳或下載的文件的數量、 比例，并幫助用戶判斷網絡中的 FTP上傳下載是否正常。HTTP 分析：對網絡中的HTTP 網頁訪問信息進行統計并以圖表方式顯示，通過此表，我們可以確定網絡中 HTTP請求（網頁訪問）的數量、增長趨勢，并幫助用戶判斷網絡中的網頁訪問是否正常。5. 報表科來網絡分析系統提供的報表功能

34、可以將網絡中的各種信息輸出為html格式的報表文件，其中報表包括的內容有概要統計視圖的內容、協議統計視圖的內容、TOP 10的物理地址、TOP 10 的 IP 地址、 TOP 10 的本地 IP 地址、 TOP 10 的遠程 IP 地址、以及圖表視圖的內容。三、科來網絡分析系統5.0主要數據及數據的分析利用科來網絡分析系統5.0 中的主要數據及數據對應的分析利用簡表如表1 所示。節點瀏覽器主要數據區數據內容樹狀層級方式顯示網絡中通協議訊使用的協議樹狀方式顯示當前網絡中通IP 端點訊所涉及到的IP 地址樹狀方式顯示當前網絡中通物理端點訊所涉及到的MAC 地址和IP 地址數據分析利用有效查看網絡中

35、使用的服務；確定網絡中是否存在異常數據通訊；確定網絡中是否存在異常攻擊（如 ARP 攻擊）；查看網段內部主機間的流量；確定網絡中活動的IP 主機；確定活動主機工作是否正常；確定是否存在偽造 IP 地址的攻擊；查看網段內部主機間的流量；確定網絡中是否存在非法更改 IP/MAC 的情況；確定網絡中是否存在偽造 IP/MAC 地址的攻擊；概要統計視圖主要數據區數據內容數據分析利用CRC 錯誤網絡中出現較多此類物理錯誤的數據包時，表物理錯誤重組錯誤示網絡的物理層存在故障，具體可能是網絡設過大數據包備及線路干擾過大、 網線 RJ45 頭損壞、接觸不過小數據包良、線路兩端設備速率不匹配等。802.3 錯誤

36、一次沖突錯誤網絡中出現較多此類錯誤數據包時，表示網絡成都科來軟件有限公司電話：mail ： sales傳真：upport14/18網絡流量數據包大小分布最常見的數據包大小TCP 數據包TCP 連接SMTP 分析POP3 分析FTP 分析HTTP 分析端點視圖主要數據區All/Physical/IP三種 端點數據多次沖突錯誤最大沖突錯誤延遲沖突錯誤總共流量廣播流量組播流量網絡中不同大小數據包分布情況網絡中數量最多的數據包TOP10TCP 同步數據包 TCP 結束連接數據包TCP 復位數據包TCP 錯誤檢驗和數據包TCP 重傳數據包 TCP

37、零窗口數據包初始化的 TCP 連接數成功建立的 TCP 連接數拒絕的 TCP 連接數復位的 TCP 連接數使用 SMTP 協議進行郵件發送的信息使用 POP3 協議進行郵件接收的信息使用 FTP 進行文件上傳下載的信息使用 HTTP 訪問網頁的信息數據內容網絡中所有主機的占用情況總流量最大的主機科來網絡分析系統 5.0 使用介紹的傳輸存在故障，具體可能是由網絡阻塞、兩端設備速率模式不匹配、傳輸線路超出規定范圍、網絡設備（如網卡）硬件錯誤等情況造成。得出網絡的總體工作狀態，如總共流量的利用率超過 50% ，表示網絡的負載過重；廣播流量或組播流量大于總流量的 20% ，表示網絡中可能存在廣播 /

38、組播風暴或 ARP 攻擊。確定網絡的通訊質量；確定網絡中是否存在碎片或溢出攻擊等非正常訪問。確定網絡中使用最頻繁的服務；確定網絡中是否可能存在DOS/DDOS/DRDOS攻擊。確定網絡中是否有掃描器在工作或是否有主機被掃描攻擊；確定網絡的通訊質量；確定中是否存在環路故障；確定對端主機是否存在故障。確定網絡中的 TCP 通信是否正常；確定網絡中是否有主機感染病毒；確定網絡中存在端口掃描攻擊或用戶名密碼破解攻擊；確定網絡中的郵件發送是否正常；確定網絡中的 SMTP 服務器工作是否正常；確定網絡中是否存在感染蠕蟲病毒的主機；網絡中是否存在破解郵箱用戶名密碼的情況。確定網絡中的郵件接收是否正常；郵件的

39、 POP3 服務器是否正常工作；網絡中是否存在破解郵箱用戶名密碼的情況。統計上傳下載的數據；確定網絡中 FTP 服務器的數據是否被未被允許的上傳下載；確定網絡中是否存在確解 FTP 賬戶的用戶名密碼情況。對網絡中的網頁瀏覽進行統計；確定網絡中是否存在使用HTTP 代理的程序，如 QQ 、 MSN 等 P2P 軟件。數據分析利用確定網絡中是否廣播 / 組播風暴；幫助排查網絡速度慢故障；成都科來軟件有限公司電話：mail ： sales傳真：upport15/18科來網絡分析系統 5.0 使用介紹發送流量最大的主機幫助排查網絡時斷時續故障；接收流量最大的主機幫助查找用戶無法上網故障；收發數據包數最多的主機幫助查找蠕蟲病毒攻擊；發送數據包最多的主機幫助查找 DOS 攻擊；接收數據包最多的主機內部流量廣播流量最大的主機協議視圖主要數據區數據內容數據分析利用占用的流量查看網絡中各協議的流量占用及百分比