◆科來網(wǎng)絡(luò)分析系統(tǒng)◆認識及設(shè)置篇

1、采用任何形式上網(wǎng)，都可能遇到：上網(wǎng)慢（不能瀏覽網(wǎng)頁、卡、上不去網(wǎng)、信號差、信號延遲、連接失敗、不穩(wěn)定、丟包、誤碼率高、上不去、掉線、死機、無故中斷。）等現(xiàn)象，局域網(wǎng)中有人在BT下載，ARP攻擊，蠕蟲病毒等，應(yīng)該如何做網(wǎng)絡(luò)性能分析？別急，以下將為大家介紹一個網(wǎng)絡(luò)分析軟件：科來網(wǎng)絡(luò)分析系統(tǒng)（網(wǎng)絡(luò)分析系統(tǒng)有多種，除了科來還有OmniPeek、wireshark等數(shù)種，從語言角度考慮還是中文的科來比較好學(xué)）      科來網(wǎng)絡(luò)分析系統(tǒng)是一個集數(shù)據(jù)包采集、解碼、協(xié)議分析、統(tǒng)計、日志圖表等多種功能為一體的綜合網(wǎng)絡(luò) 分析系統(tǒng)。它可以幫助網(wǎng)

2、絡(luò)管理員進行網(wǎng)絡(luò)監(jiān)測、定位網(wǎng)絡(luò)故障、排查網(wǎng)絡(luò)內(nèi)部的安全隱患。 科來網(wǎng)絡(luò)分析系統(tǒng)能夠進行全實時的采集-分析-統(tǒng)計處理，能夠即時的反應(yīng)網(wǎng)絡(luò)通訊狀況，不需要進行任 何后期處理。科來網(wǎng)絡(luò)分析系統(tǒng)強大的數(shù)據(jù)包解碼功能可以讓最為狡猾的網(wǎng)絡(luò)攻擊、欺騙行為也無所遁形；針對常用網(wǎng) 絡(luò)協(xié)議設(shè)計的高級分析模塊為用戶提供更為實用的網(wǎng)絡(luò)使用數(shù)據(jù)記錄；網(wǎng)絡(luò)通訊協(xié)議和網(wǎng)絡(luò)端點都可以提 供詳盡的數(shù)據(jù)統(tǒng)計；獨創(chuàng)的協(xié)議、端點瀏覽視圖結(jié)構(gòu)，可以幫助用戶快速定位所要數(shù)據(jù)；豐富的圖表功能 為用戶提供直觀的信息。 不管是本地局域網(wǎng)的診斷還是到大型網(wǎng)絡(luò)的監(jiān)測，科來網(wǎng)絡(luò)分析系統(tǒng)都是

3、一款不可或缺的網(wǎng)絡(luò)管理工具。 有了這樣的工具，可以幫助企業(yè)網(wǎng)絡(luò)完成以下幾類工作：        1) 網(wǎng)絡(luò)流量分析        2) 網(wǎng)絡(luò)通訊監(jiān)視        3) 網(wǎng)絡(luò)錯誤和故障診斷        4) 網(wǎng)絡(luò)安全分析

4、0;       5) 網(wǎng)絡(luò)性能檢測        6) 網(wǎng)絡(luò)協(xié)議分析 網(wǎng)絡(luò)分析工具的配備可以從本質(zhì)上檢測到網(wǎng)絡(luò)中的問題，協(xié)調(diào)和支持各種網(wǎng)絡(luò)管理工具的使用，并最大化 的完善網(wǎng)絡(luò)管理。其中支持協(xié)議    科來網(wǎng)絡(luò)分析系統(tǒng)可以進行內(nèi)網(wǎng)以及內(nèi)網(wǎng)與外網(wǎng)的數(shù)據(jù)檢測分析，甚至可以跨 VLAN 進行數(shù)據(jù)監(jiān)測。只安裝在一臺管理機器上即可，不用安裝到局域網(wǎng)的每臺機器

5、。管理人員可以根據(jù)需要，來決定網(wǎng)絡(luò)的安裝位置， 安裝位置的不同，捕獲到的網(wǎng)絡(luò)數(shù)據(jù)也差異很大。為了更全面的監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)，建議最好將產(chǎn)品部署的設(shè)備直接連接到中心交換設(shè)備上，這樣可以更多的數(shù)據(jù)信息；您也可利用網(wǎng)絡(luò)分接器，來分析任意網(wǎng)段 1.  共享網(wǎng)絡(luò) -  通過 Hub 連接上網(wǎng) 使用集線器 （Hub）作為網(wǎng)絡(luò)中心交換設(shè)備的網(wǎng)絡(luò)即為共享式網(wǎng)絡(luò)，集線器 （Hub）以共享模式工作在OSI層次的物理層。如果您局域網(wǎng)的中心交換設(shè)備是集線器 （Hub），可將科來網(wǎng)絡(luò)分析系統(tǒng)可安裝

6、在局域網(wǎng)中任意一臺主機上，此時科來網(wǎng)絡(luò)分析系統(tǒng)可以捕獲整個網(wǎng)絡(luò)中所有的數(shù)據(jù)通訊。2. 交換式網(wǎng)絡(luò) -         交換機具備管理功能 （端口鏡像） 使用交換機 （Switch）作為網(wǎng)絡(luò)的中心交換設(shè)備的網(wǎng)絡(luò)即為交換式網(wǎng)絡(luò)。交換機 （Switch）工作在 OSI 模型的數(shù)據(jù)鏈接層，交換機各端口之間能有效地分隔沖突域，由交換機連接的網(wǎng)絡(luò)會將整個網(wǎng)絡(luò)分隔成很多小的網(wǎng)域。大多數(shù)三層或三層以上交換機以及一部分二層交換機都具備端口鏡像功

7、能，當您網(wǎng)絡(luò)中的交換機具備此功能時，可在交換機上配置好端口鏡像 （關(guān)于交換機鏡像端口），再將科來網(wǎng)絡(luò)分析系統(tǒng)可安裝在連接鏡像端口的主機上即可，此時科來網(wǎng)絡(luò)分析系統(tǒng)可以捕獲整個網(wǎng)絡(luò)中所有的數(shù)據(jù)通訊。3. 交換式網(wǎng)絡(luò) -         交換機不具備管理功能 （端口鏡像） 一般簡易型的交換機不具備管理功能，不能通過端口鏡像來實現(xiàn)網(wǎng)絡(luò)的監(jiān)控分析。如果您的中心交換或網(wǎng)段的交換沒有端口鏡像功能，一般可采取串接集線器 （Hub）或分接器 （Tap）

8、的方法進行部署。如圖所示：    a)  使用網(wǎng)絡(luò)分接器(Taps)        使用 Tap 時，成本較高，需要安裝雙網(wǎng)卡，并且在管理機器不能上網(wǎng)，如果要上網(wǎng)，需要再安裝另外的網(wǎng)卡。   b)  使用集線器(Hub)        Hub 成本低，但網(wǎng)絡(luò)流量大時，性能不高，Tap 即使

9、在網(wǎng)絡(luò)流量高時，也對網(wǎng)絡(luò)性能不會造成任何影響4.  定點分析某個網(wǎng)段 在實際情況中，網(wǎng)絡(luò)的拓樸結(jié)果往往非常復(fù)雜，在進行網(wǎng)絡(luò)分析時，我們并不需要對所有的網(wǎng)絡(luò)進行分析，而只需要對異常的網(wǎng)段進行監(jiān)測。對于這種情況，我們建議您將產(chǎn)品安裝于移動電腦上，再附加一個網(wǎng)絡(luò)分接器，就可以很方便的來檢測任意鏈路上的網(wǎng)絡(luò)情況。5.  使用集線器 Hub、分接器 TAP、交換機 Switch 的區(qū)別？注意: 不同的交換機或不同的型號，鏡像配置方法的有些區(qū)別，我們在網(wǎng)站上為用戶提供了常見交換機的端口鏡像配置方法。開始使用

10、選擇網(wǎng)卡 網(wǎng)絡(luò)數(shù)據(jù)包是通過網(wǎng)卡進行轉(zhuǎn)發(fā)的，對數(shù)據(jù)包的捕獲需要利用網(wǎng)卡進行采集，在進行工程運行之前，需要選擇分析的網(wǎng)卡。 科來網(wǎng)絡(luò)分析系統(tǒng)支持多網(wǎng)卡進行數(shù)據(jù)采集，同時也支持撥號的上網(wǎng)和本地環(huán)回。本地環(huán)回是指客戶 端和訪問的服務(wù)器端都是本機，此時的網(wǎng)絡(luò)數(shù)據(jù)并不經(jīng)過網(wǎng)卡，科來網(wǎng)絡(luò)分析系統(tǒng)同樣支持以類數(shù)據(jù)的監(jiān)測分析。 在工程設(shè)置中，科來網(wǎng)絡(luò)分析系統(tǒng)會自動列出所有可用到的網(wǎng)卡類型，用戶可以根據(jù)實際情況進行選擇。設(shè)置顯示選項 科來網(wǎng)絡(luò)分析系統(tǒng)的每一個視圖都為用戶提供了非常豐富的統(tǒng)計字段，為了適合查看，并沒有所有的字段都顯示出來。用戶可以通過列表選項來設(shè)置顯

11、示的數(shù)據(jù)，右鍵點擊每個視圖字段標題，將可以打開顯示選項。軟件界面菜單 下面的表格是菜單命令以及相應(yīng)說明：節(jié)點瀏覽器 節(jié)點瀏覽器最大的用途，就是能快速的選擇需要查看的節(jié)點，通過選擇節(jié)點，用戶可以查看該節(jié)點對應(yīng)的網(wǎng)絡(luò)數(shù)據(jù)。節(jié)點瀏覽器由三個類組成，分別是協(xié)議節(jié)點，物理節(jié)點，IP 節(jié)點。用戶可以很方便的定位到整個網(wǎng)絡(luò)，也可以定位到某個 IP段，或是某個 IP。而右邊的數(shù)據(jù)會根據(jù)選擇的節(jié)點顯示相關(guān)的數(shù)據(jù)。工程狀態(tài)欄 我們?yōu)槊總€工程都提供一個狀態(tài)欄，用戶可以查看當前工程的執(zhí)行情況和配置狀態(tài)。包括使用的過濾器，捕獲到的數(shù)據(jù)包，數(shù)據(jù)包緩存的占用情況等

12、。緩存使用率的顏色條默認情況下是藍色，超過 80%，將變?yōu)槌壬?，超過 90%，則顯示為紅色。主視圖區(qū) 網(wǎng)絡(luò)分析的主要數(shù)據(jù)結(jié)果，都放置在主視圖區(qū)?？苼砭W(wǎng)絡(luò)分析系統(tǒng) 5.0 包含以下視圖，每個視圖都包含不同的分析結(jié)果。數(shù)據(jù)排序功能是一個對數(shù)據(jù)查看很有用的功能，用戶對于想查看的數(shù)據(jù)排序，只需要單擊一下列表的字段，就可以進行正序或倒序的排列，如下圖所示。查找?guī)捳加米畲蟮?#160;IP，或查找數(shù)據(jù)包發(fā)送最多的 IP，利用數(shù)據(jù)排序?qū)⑹欠浅Ｈ菀椎姆椒??？苼砭W(wǎng)絡(luò)分析系統(tǒng)的每一個視圖都為用戶提供了非常豐富的統(tǒng)計字段，為了適合查看，并沒有所有的字段都

13、顯示出來。用戶可以通過列表選項來設(shè)置顯示的數(shù)據(jù)，右鍵點擊每個視圖字段標題，將可以打開顯示選項。概要統(tǒng)計 科來網(wǎng)絡(luò)分析系統(tǒng)的統(tǒng)計功能非常強大，近百個統(tǒng)計計數(shù)器為用戶提供非常詳盡的統(tǒng)計信息，快照功能允許用戶對特定時段的數(shù)據(jù)變化進行比較。概要統(tǒng)計不僅是全局的，每個網(wǎng)絡(luò)協(xié)議和網(wǎng)絡(luò)端點都有自己的概要統(tǒng)計，用戶可以開啟多個窗口，比較不同協(xié)議或端點之間的概要統(tǒng)計。端點 網(wǎng)絡(luò)端點是網(wǎng)絡(luò)通訊中的重要組成部分，是網(wǎng)絡(luò)通訊的兩端，科來網(wǎng)絡(luò)分析系統(tǒng)將分為物理端點和 IP端點，通過網(wǎng)絡(luò)端點統(tǒng)計分析功能，用戶可以快速找定位通訊量最大的 IP端點和物理端點。系統(tǒng)還支持每個網(wǎng)絡(luò)協(xié)議的端

14、點流量明晰統(tǒng)計排名，比如用戶可以知道HTTP 協(xié)議下前5 個 IP端點。從上圖可以清楚地得出當前網(wǎng)絡(luò)中所有主機 （包括一個網(wǎng)段、一個物理MAC 地址、一個 IP）的具體流量占用情況，如總流量最大的主機、發(fā)送流量最大的主機、接收流量最大的主機、收發(fā)數(shù)據(jù)包數(shù)最多的主機、發(fā)送數(shù)據(jù)包最多的主機、接收數(shù)據(jù)包最多的主機、內(nèi)部流量、以及廣播流量最大的主機等信息。通過這些信息，我們可以確定網(wǎng)絡(luò)中是否廣播/組播風(fēng)暴，并幫助用戶排查網(wǎng)絡(luò)速度慢、網(wǎng)絡(luò)時斷時續(xù)、蠕 蟲病毒攻擊、DOS 攻擊、以及用戶無法上網(wǎng)等網(wǎng)絡(luò)故障。協(xié)議 遵循

15、 OSI 七層協(xié)議分析，根據(jù)實際的網(wǎng)絡(luò)協(xié)議封裝順序，層次化得展現(xiàn)給用戶，每個協(xié)議有自己的色彩，除了全局的協(xié)議統(tǒng)計，還可提供每個網(wǎng)絡(luò)端點下的協(xié)議統(tǒng)計數(shù)據(jù)。協(xié)議視圖可以有效顯示網(wǎng)絡(luò)中數(shù)據(jù)通訊所使用的協(xié)議，協(xié)議采用樹狀層級方式顯示，對每一種協(xié)議，都對其占用的流量、使用此協(xié)議的數(shù)據(jù)包個數(shù)、此協(xié)議的流量在總流量中的百分比、以及使用此協(xié)議的數(shù)據(jù)包在總數(shù)據(jù)包中的百分比進行了統(tǒng)計，如圖所示。通過協(xié)議視圖對各視圖占用流量及百分比的統(tǒng)計，用戶可以得出當前網(wǎng)絡(luò)中占用流量最多的協(xié)議，即當前網(wǎng)絡(luò)中占用流量最多的服務(wù)類型；并幫助用戶排查網(wǎng)絡(luò)速度慢、郵件蠕蟲病毒攻擊、網(wǎng)絡(luò)時斷時續(xù)以及用戶無法上網(wǎng)等網(wǎng)絡(luò)故

16、障。 +3 共 1 人評分· 內(nèi)容豐富 積分 +3royallin  回復(fù) 引用 本帖鏈接 只看該作者              窗體頂端·沙發(fā) 御鏡 發(fā)表于 2010-07-28 20:20:52 最后由 御鏡 于 2010-07-28 20:55:49 修改 數(shù)據(jù)包 數(shù)據(jù)包解碼由概要解碼、字段解碼、十六進制解碼組成，概要解碼是自動進行，用戶也可以選擇概要解碼的協(xié)議層，幫助用戶快速定位可疑的網(wǎng)絡(luò)數(shù)據(jù)包，用戶還可以選擇單個數(shù)據(jù)包進行詳細解碼，詳細解碼字段可以和數(shù)據(jù)包原始數(shù)據(jù)互動，即便是

17、精心偽造的網(wǎng)絡(luò)攻擊、欺騙數(shù)據(jù)包在這種模式下也無所遁形，點擊這里了解數(shù)據(jù)包解碼詳細信息。 通過解碼信息，我們可以了解以下信息：    1.  數(shù)據(jù)包的概要信息 （作用、以及提取的重要值）；    2.  網(wǎng)絡(luò)中的數(shù)據(jù)包的類型；    3.  網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包是否正確；    4.  網(wǎng)絡(luò)中IP 數(shù)據(jù)包的版本； 

18、0;  5.  目標主機是否在運行客戶端主機所請求的服務(wù)；    6.  源主機到目標主機間的路由時間 （即鏈路長度）；    7.  目標主機對客戶端主機請求的服務(wù)的響應(yīng)時間；    8.  網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)是否為緊急數(shù)據(jù)；    9.  數(shù)據(jù)包在網(wǎng)絡(luò)中經(jīng)過的路由跳數(shù)； 10. 網(wǎng)絡(luò)中是

19、否存在環(huán)路現(xiàn)象； 11. 用戶訪問目標主機某服務(wù)的原始步驟。概要解碼 概要解碼逐行顯示每一個捕獲數(shù)據(jù)包的概要信息。概要信息主要包括：數(shù)據(jù)包被捕獲的絕對時間、源 IP及使用端口、發(fā)送的目標 IP及端口、使用的協(xié)議、數(shù)據(jù)包的大小、概要內(nèi)容等。 對數(shù)據(jù)包進行查看，管理人員可以：      1.   設(shè)定顯示選項，自定義要查看的數(shù)據(jù)列      2.   雙擊打開新

20、窗口查看數(shù)據(jù)包解碼的全部內(nèi)容      3.   高亮顯示選擇的數(shù)據(jù)包      4.   對感興趣的數(shù)據(jù)包添加注釋      5.   選擇相關(guān)聯(lián)的數(shù)據(jù)包      6.   通過 Page UP 和

21、0;Page Down 來瀏覽前后數(shù)據(jù)包      7.   通過數(shù)據(jù)包生成過濾器      8.   導(dǎo)出數(shù)據(jù)包      9.   定位該數(shù)據(jù)包所在節(jié)點    10.  將 MAC 地址或 IP地址添加到名字表

22、60;   11. 使用滾屏功能始終顯示最新的數(shù)據(jù)包 字段解碼 字段解碼也稱為詳細解碼，可以看到數(shù)據(jù)包的詳細信息。默認情況下，科來網(wǎng)絡(luò)分析系統(tǒng)將在字段解碼框中逐層展開協(xié)議層的內(nèi)容，并按照樹型結(jié)構(gòu)顯示。要節(jié)省查看空間，請單擊協(xié)議子層前面的減號(-)。要再次展開協(xié)議顯示，請單擊加號(+)。點鼠標右鍵的 “復(fù)制樹結(jié)構(gòu)”，可以將協(xié)議子層的數(shù)據(jù)復(fù)制到剪切板上。如果想了解字段的詳細信息，可查看網(wǎng)站提供的常見協(xié)議詳細解碼資料。十六進制解碼 十六進制解碼是以十六進制和 ASCII(或 EBCDIC)格式顯示所選

23、數(shù)據(jù)包。當您選擇 “概要解碼”中的數(shù)據(jù)包或在 “字段解碼”選擇了協(xié)議字段后，該數(shù)據(jù)包相應(yīng)的十六進制字節(jié)(Hex 格式)將在 “十六進制解碼視圖框”中高這顯示，如圖所示。這樣您可以很快的了解協(xié)議字段與它在數(shù)據(jù)包中相應(yīng)字節(jié)的對應(yīng)關(guān)系。 TCP 數(shù)據(jù)流重組 科來網(wǎng)絡(luò)分析系統(tǒng)可以將捕獲到的網(wǎng)絡(luò)數(shù)據(jù)按照正確的順序，重組成 TCP 片段。根據(jù) TCP 數(shù)據(jù)流，管理人可以完全掌握數(shù)據(jù)的通訊情況。利用 TCP 數(shù)據(jù)流中的會話信息，可以很容易跟蹤每個網(wǎng)絡(luò)會話的整個過程，包括客戶端與服

24、務(wù)器端之間的請求與響應(yīng)。連接 連接視圖顯示當前網(wǎng)絡(luò)活動狀態(tài)，提供從整體到端點的網(wǎng)絡(luò)連接情況分析，即時的TCP 流重組功能。 連接視圖主要提供 TCP 連接，用來顯示網(wǎng)絡(luò)中 TCP 連接的信息，包括成功的、失敗的、活動的、停止的、正在建立的、已建立的、正在關(guān)閉的、已關(guān)閉的。并在下方的子窗口中顯示當前選定連接的基本通信信息、TCP 數(shù)據(jù)流重組信息、原始數(shù)據(jù)包信息、對應(yīng)的日志文件。對于每條連接，都可統(tǒng)計其源地址、目標地址、當前狀態(tài)、協(xié)議、該連接收發(fā)的數(shù)據(jù)包及這些數(shù)據(jù)包的大小等信息。通過這些信息，我們可以確定出當前網(wǎng)絡(luò)中&

25、#160;TCP 通訊的情況，如：    1.  查看兩臺主機之間的通訊內(nèi)容；    2.  網(wǎng)絡(luò)中是否存在TCP 端口掃描攻擊；    3.  網(wǎng)絡(luò)中是否存在基于TCP 協(xié)議的服務(wù)的賬戶用戶名密碼破解攻擊；    4.  網(wǎng)絡(luò)中是否存在郵件蠕蟲病毒攻擊；    5.  

26、;網(wǎng)絡(luò)中是否存在長時間連接且流量小的TCP 連接 （QQ/MSN 等程序使用 HTTP 代理即為此現(xiàn)象）。下方的 TCP 數(shù)據(jù)流重組，可以方便地得出當前選定連接的原始操作信息，通過 TCP 連接的原始信息，我們可以確定這些 TCP 通訊的內(nèi)容、步驟，并斷定此連接是否正常。其界面如圖所示。日志 日志視圖記錄網(wǎng)絡(luò)中用戶的高級網(wǎng)絡(luò)運用，包括 HTTP 請求 （網(wǎng)頁瀏覽），郵件信息 （通過 SMTP/POP3 進行的郵件收發(fā)

27、）以及FTP 傳輸 （通過 FTP 進行的數(shù)據(jù)上傳下載），并可根據(jù)用戶的需要將這些日志信息保存到硬盤以備查閱。其界面如圖十所示，當前選定的是HTTP 請求的日志視圖。圖表 圖表功能為用戶提供2D 或者 3D 的時間趨勢圖和數(shù)據(jù)比較圖，可以選擇折線圖、柱狀圖、面積圖、餅圖等多種形式，除了全局圖表，也支持每個協(xié)議和網(wǎng)絡(luò)端點的圖表數(shù)據(jù)采集顯示。工程設(shè)置 工程設(shè)置是對網(wǎng)絡(luò)分析進行條件設(shè)置的地方，用戶可以根據(jù)分析目的進行有選擇的采集數(shù)據(jù)。工程設(shè)置主要包括以下幾大類：工程設(shè)置常規(guī) 這里主要是數(shù)據(jù)包

28、緩存(Buffer)進行設(shè)置，數(shù)據(jù)包緩存在網(wǎng)絡(luò)分析中可以起到高速緩沖存儲數(shù)據(jù)的作用?？苼砭W(wǎng)絡(luò)分析系統(tǒng)會將捕獲到的數(shù)據(jù)包進行分析后，將數(shù)據(jù)保存在緩沖器中。只有當項目保存時，才將Buffer 的數(shù)據(jù)保存在硬盤上。 Buffer 的設(shè)置大小取決于所需要數(shù)據(jù)的多少和計算機內(nèi)存的大小。Buffer 的大小應(yīng)該低于一半的可用物理內(nèi)存，一般開始先使用 16M 的Buffer，如果需要時再增加。 例如： 一個 512M 的管理主機，運行操作系統(tǒng)和分析軟件可能會占用 60M 內(nèi)存，可用物理內(nèi)存

29、大概為 450M，除去其它的一些應(yīng)用程序所占內(nèi)存，可用物理內(nèi)存大概不到 400M，那么 Buffer 最大的使用內(nèi)存應(yīng)該小于200M。因為Buffer 是獨占使用，所以，我們還是盡量少劃分內(nèi)存作為 Buffer，一般 16M可以滿足大多數(shù)情況，流量大時，建議使用 64M 或 96M。 當緩存裝滿時，可選擇以下處理方法： 1. 丟棄最老的數(shù)據(jù)包 (Ring Buffer)    當被捕捉的數(shù)據(jù)包數(shù)量達到您設(shè)定

30、的最大值時，本系統(tǒng)將會丟棄緩存中最早保存的數(shù)據(jù)包，然后添加新的數(shù)據(jù)包。 2. 丟棄新捕獲的數(shù)據(jù)包    當被捕捉的數(shù)據(jù)包數(shù)量達到您設(shè)定的最大值時，新捕獲的數(shù)據(jù)包將在被分析模塊分析后被丟棄而不會被保存在緩存中。 3. 丟棄緩存內(nèi)所有的數(shù)據(jù)包    當被捕捉的數(shù)據(jù)包數(shù)量達到您設(shè)定的最大值時，本系統(tǒng)將清空緩存然后再添加新的數(shù)據(jù)包。 4. 停止捕捉數(shù)據(jù)包    當被捕獲的數(shù)據(jù)包數(shù)量達到您設(shè)定的最大值時，本系統(tǒng)將停止捕捉和分析

31、數(shù)據(jù)包，您將不能看到新捕獲的數(shù)據(jù)。 工程設(shè)置網(wǎng)絡(luò)適配器 選擇網(wǎng)絡(luò)適配器，主要是選擇數(shù)據(jù)的采集方式?？苼砭W(wǎng)絡(luò)分析系統(tǒng)支持以太網(wǎng)、撥號上網(wǎng)、本地環(huán)回方式的數(shù)據(jù)采集，并且也支持多網(wǎng)卡采集，用戶可以選擇一個網(wǎng)卡或多個網(wǎng)卡來捕獲數(shù)據(jù)包。 科來網(wǎng)絡(luò)分析系統(tǒng)也能自動識別網(wǎng)卡的傳輸速度，默認以網(wǎng)卡的速度為網(wǎng)絡(luò)帶寬，用戶也可以根據(jù)實際情況改變此值。如網(wǎng)卡雖然為 1000M，但內(nèi)網(wǎng)的網(wǎng)線卻是 100M，為了使統(tǒng)計更附合實際，可將帶寬改為 100M。 工程設(shè)置過濾器 通過數(shù)據(jù)包過濾器列表頁面您可以自定義捕捉數(shù)據(jù)包的過濾器。如果沒有設(shè)定過

32、濾器，科來網(wǎng)絡(luò)分析系統(tǒng)將捕捉和分析所有數(shù)據(jù)包。過濾器在科來網(wǎng)絡(luò)分析系統(tǒng) 5.0 中被分為簡單過濾器和高級過濾器。用戶可以通過設(shè)置 IP、端口、協(xié)議、數(shù)據(jù)包值等條件來分離數(shù)據(jù)包。在過濾器列表中，可以通過 “接受”、“排除”等邏輯關(guān)系來組合過濾設(shè)置。工程設(shè)置網(wǎng)絡(luò)配置 網(wǎng)絡(luò)配置主要是自定義節(jié)點瀏覽器中IP節(jié)點和 MAC 節(jié)點。在 IP節(jié)點和 MAC 節(jié)點按照網(wǎng)絡(luò)數(shù)據(jù)的類型，定義了不同的組，用戶可以很方便的查看本地數(shù)據(jù)、遠程數(shù)據(jù)以及廣播數(shù)據(jù)、組播數(shù)據(jù)。用戶也可以根據(jù)需要添加、刪除來規(guī)劃自己的網(wǎng)絡(luò)結(jié)構(gòu)。例

33、如，可以把不同網(wǎng)段分到不同 IP組里，也可以按照部門建立不同的 IP組。 科來網(wǎng)絡(luò)分析系統(tǒng)已經(jīng)有一個默認的配置，點擊自動檢測，系統(tǒng)將對網(wǎng)絡(luò)進行自動掃描，將 IP節(jié)點和MAC 節(jié)點自己檢測出來。工程設(shè)置高級分析模塊 在工程設(shè)置里，也可以對網(wǎng)絡(luò)分析模塊進行配置。高級分析模塊主要提供郵件分析、FTP、HTTP 分析。在配置中，可以啟用是否保存郵件，是否使用過濾器，以及端口和保存路徑等。  回復(fù) 引用 本帖鏈接 只看該作者 版副· 昵稱：御鏡 · 用戶名：御鏡 · 頭銜：太平洋艦隊準將 · 積分：12577 · 貢獻：2782 · 發(fā)帖：1635 · 精華：15 · 注冊：2007-11-10 · 查看資料 板凳 御鏡 發(fā)表于 2010