科来网络回溯分析系统前端节点技术指标

TS-08-0002错误!未指定书签。

目录科来网络分析系统整体解决方案 (1)目录 (1)第1章前言 (4)第2章企业网络现状 (4)2.1企业内部网络结构模型 (4)2.2传统防御的网络风险和安全隐患 (5)2.3网络分析时代来临 (6)第3章科来网络分析系统功能简述 (6)3.1网络内部流量占用分析 (7)3.2网络出口带宽分析 (8)3.3病毒、攻击预警和快速定位 (8)3.47*24小时长期分析 (8)3.5专家诊断 (8)3.6端点分析 (9)3.7协议分析 (9)3.8数据包实时解码能力 (9)3.9TCP数据流重组 (10)3.10应用程序分析 (10)3.11网络错误检测 (11)3.12主机快速定位 (11)3.13网络故障回放 (11)3.14矩阵统计 (12)3.15报表统计 (13)3.16图表统计 (13)3.17数据过滤分析 (13)3.18基于工程的分析 (15)第4章科来网络分析系统性能指标 (15)4.1网络类型 (15)4.2网络拓扑 (16)4.3系统需求 (16)4.4支持的协议层次 (16)4.5支持的协议 (16)4.6支持的网络适配器（网卡） (17)4.7支持的数据包文件格式 (17)4.8分析精度 (18)4.9数据包级故障诊断 (18)4.10网络监控 (18)第5章科来网络分析系统安装部署 (18)5.1共享式网络 (18)5.2具备镜像功能的交换式网络 (19)5.3不具备镜像功能的交换式网络 (19)5.4定点分析一个部门或一个网段 (20)5.5代理服务器共享上网 (20)第6章服务和技术支持 (21)6.1服务理念 (21)6.2售前服务 (21)6.3售后服务 (21)6.4技术支持 (22)第7章培训 (22)7.1培训介绍 (22)7.2培训方式 (23)7.3培训地点 (23)7.4培训时间 (23)7.5培训费用 (23)7.6培训大纲 (23)第8章相关手册 (27)第9章科来软件介绍 (28)9.1公司简介 (28)9.2联系方式 (28)第10章附件 (29)9.1海外典型用户 (29)9.2国内典型用户 (30)第1章前言随着政府、企业、校园网和电子商务等一系列网络应用的蓬勃发展，网络正在越来越多地离开原来单纯的学术环境，融入到社会的各个方面。

科来网络回溯分析系统（硬件）科来网络回溯分析系统（硬件）是能够长时间记录网络通讯数据，并提供基于时间的数据挖掘分析系统。

它采用科来自主设计研发的第二代网络分析引擎，提供千兆网络流量数据采集、存储，历史数据挖掘与回溯分析，能够快速追溯到任意时间范围内的重点分析目标的通讯数据，包括与其关联的通讯数据的快速挖掘和全面分析，帮助用户快速定位分析网络和应用问题，发现和分析安全攻击，对网络用户的网络行为进行深入有效的高精度分析。

1、技术优势（1）数据包级的回溯分析对各种网络和安全问题提供强有力的分析取证能力。

（2）专用的软硬件一体化设计，安装部署容易，支持远程部署，远程访问，支持对分布在不同地点的多条网络链路通讯进行集中长期监控分析。

（3）方便高效的数据检索和数据挖掘界面，提供直观高效的数据分析和挖掘能力，业界领先的逐级数据挖掘分析视图，可根据时间、主机、应用、会话进行逐级数据挖掘，方便高效的挖掘所需分析数据。

（4）支持方便快速的数据导出能力，能够提供多种格式的数据包文件，并支持数据包播放功能，方便其他分析系统进行数据分析。

（5）专用的文件存储格式和方式，其他程序无法直接访问读取回溯服务器保存的网络通讯数据，同时提供用户访问认证和授权控制功能，保证系统数据的安全性。

（6）采用RAID5和RAID6存储技术，保证存储数据的可靠性。

强大的数据安全保护，包括：防数据被窃取的安全，系统安全认证，数据加密安全传输。

2、功能概要★ 7X24小时的关键网络通讯数据的实时分析与收集保存通过长期捕获关键网络的网络通讯数据，实时分析并分类记录所有的网络用户的网络行为数据，网络通讯数据和应用访问数据，从而为网络问题分析、网络行为分析、网络性能和应用性能分析提供最完整，最有力的数据基础。

★基于时间的网络通讯数据回溯分析能够快速追溯到任意时间范围内的重点分析目标的通讯数据，包括与其关联的通讯数据的快速挖掘和全面分析，帮助用户快速定位分析网络和应用问题，发现和分析安全攻击，对网络用户的网络行为进行深入有效的高精度分析。

TS-01-0005科来网络分析系统6.8 快速入门指南本文档属商业机密文件，所有内容均为科来软件独立完成，属科来软件内部机密信息，未经科来软件做出明确书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、修改、存储、引入检索系统或者传播。

© 2008 科来软件 保留所有权利技术支持部科来软件电话：86-28-85120922传真：86-28-85120911网址：邮件：********************.cn目 录引言 (2)1新建工程 (2)2开始捕获 (2)3整体布局 (2)3.1菜单 (3)3.2工具栏 (3)3.3 节点浏览器 (3)3.4 工程状态栏 (4)3.5 主视图区 (4)4工程设置 (12)4.1常规 (13)4.2网络适配器 (14)4.3过滤器 (15)4.4网络配置 (16)4.5日志设置 (17)4.6诊断设置 (18)5数据管理 (18)5.1 工程文件 (18)5.2数据包 (19)引言网络分析是一门非常专业的技术，需要分析者具备相当的网络知识，同时对网络分析软件使用的熟悉程度，也在很大程度决定着故障排查的效率性和准确性。

但是作为初次使用网络分析软件的用户来说，他们可能会有疑问：通过网络分析软件能得到什么数据，这些数据能帮助我们做些什么，我们如何使用这些数据等等。

目前流行的网络分析工具中，国外产品主要有Sniffer，Omnipeek, Ethereal，国内产品则只有科来网络分析系统。

科来网络分析系统是一个专业的网络分析软件，刚刚接触它的朋友在使用时可能存在一些疑问，不知道如何使用快速上手，下面我们就对科来网络分析系统进行简单介绍，希望能对初次使用科来网络分析系统的朋友有所帮助。

1新建工程工程可以被理解为一次分析任务。

捕获数据之前，用户需要创建一个新工程。

系统在启动时默认创建一个新工程，用户也可以通过菜单“文件->新建”和工具栏中的“新建”进行手动创建新工程。

科来网络分析系统2010技术白皮书本文档所有内容均为科来软件独立完成，未经科来软件做出明确书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、修改、存储、引入检索系统或者传播。

© 2010 科来软件保留所有权利技术支持部科来软件电话：86-28-85120922传真：86-28-85120911网址：邮件：support@目录目录 (1)1.前言 (3)2.工作原理 (3)3.技术架构 (4)3.1总体架构 (4)3.2第二代分析引擎 (4)3.3数据采集 (5)3.4数据分析 (6)3.5数据输出 (7)4.系统技术特性 (7)4.1全新的分析引导体验 (7)4.2实时分析和回放分析 (8)4.3全新的网络档案 (8)4.4实用的分析方案 (8)4.5灵活的图表设置 (9)4.6自定义协议 (9)4.7专家诊断 (9)4.8流量分析 (10)4.9协议分析 (10)4.10在线实时警报 (10)4.11节点浏览器 (11)4.12自定义节点分组 (11)4.13数据包捕捉过滤 (11)4.14数据包解码 (12)4.15会话分析 (12)4.16矩阵显示 (12)4.17TCP会话时序图 (12)4.18TCP数据流重组 (13)4.19日志分析 (13)4.20报表输出 (13)4.21支持多工程和多网卡 (13)5.系统核心功能 (13)5.1全面的流量分析 (14)5.2智能的故障诊断 (14)5.3清晰的协议分析 (15)5.4详细的连接分析 (15)5.5强大的安全分析 (15)5.6精细化的性能评估 (16)5.7丰富直观的报表 (16)6.技术指标 (17)6.1网络类型 (17)6.2运行环境 (17)6.3支持的网络适配器 (17)6.4支持的数据包格式 (17)6.5支持的诊断事件 (18)6.6支持的协议 (18)6.7解码的协议 (19)6.8实时捕获解码分析 (20)6.9时间精度 (20)7.联系我们 (20)1.前言近二十年来，计算机网络技术得到了飞速的发展，网络速度越来越快，使用越来越简单方便，越来越多的关键业务运行在计算机网络基础之上，越来越多的重要信息通过网络传送，使得计算机网络通信已逐渐成为企事业单位日常工作不可或缺的一部份，整个社会已步入网络信息化时代。

如何建立和使用网络基线1.什么是网络基线网络基线是指网络在正常情况下的各种参数，包括网络设备、网络性能、网络安全等各种参数，是诊断排除网络问题的利器，同时也是网络的健康快照，是网络中不可或缺的指标。

2.网络基线的价值⏹快速定位网络故障产生的原因；⏹了解网络资源的使用情况，并根据实际情况进行资源协调；⏹了解网络的运行规律，流量趋势，管理策略是否达到应用效果；⏹快速发现异常流量、垃圾流量；⏹为管理设备、安全设备的阀值设定提供数据支撑；⏹为网络升级、改造提供历史数据依据。

3.如何建立网络基线⏹准备工作建立网络基线，前期准备工作包括以下几个部份：1)网络拓扑结构图：在结构图里，要力求完整展示网络的物理结构，详细标识出网络中路由器、交换机、防火墙、服务器类型、管理设备的位置；甚至数据流向等；2)了解网络现有的管理策略，网络配置情况，对哪些服务、访问做了优化和管理；3)掌握确定网络的繁忙时段、业务高峰时段、空闲时段等；4)将上述3点形成翔实的文档。

⏹确定范围和目标建立网络基线最重要的就是要确定基线的范围和目标（基线参数）。

网络是复杂的，我们不可能也很难将所有设备、主机或链路的信息全部加入到基线里来，这就需要管理者按其重要程度对网络进行划分，然后确定建立基线的范围；而且不同的设备、主机或链路所关注的参数也不尽相同，比如服务器更多的是关注安全和性能，网络则是流量、利用率等，这些都需要管理员在录入基线数据之前就确定好。

⏹录入基线数据通常，基线参数包括网络利用率、流量成份、应用TOP、协议TOP、主机TOP、会话统计、地址统计、TCP Flags、数据包大小分布、平均包长、数据包数、关键服务器信息等，这些参数通过科来网络回溯分析系统和科来网络分析系统可以快速准确的获取。

按网络的繁忙程度分别录入数据，下表是一个典型的网络基线数据采集表样式：经过一段时间的分批录入并进行相应的算法，得出各个参数的峰值、谷值、平均值，即可得到网络运行的基线数据。

开始使用选择网卡网络数据包是通过网卡进行转发的，对数据包的捕获需要利用网卡进行采集，在进行工程运行之前，需要选择分析的网卡。

科来网络分析系统支持多网卡进行数据采集，同时也支持拨号的上网和本地环回。

本地环回是指客户端和访问的服务器端都是本机，此时的网络数据并不经过网卡，科来网络分析系统同样支持以类数据的监测分析。

在工程设置中，科来网络分析系统会自动列出所有可用到的网卡类型，用户可以根据实际情况进行选择。

设置显示选项科来网络分析系统的每一个视图都为用户提供了非常丰富的统计字段，为了适合查看，并没有所有的字段都显示出来。

用户可以通过列表选项来设置显示的数据，右键点击每个视图字段标题，将可以打开显示选项。

软件界面菜单下面的表格是菜单命令以及相应说明：节点浏览器节点浏览器最大的用途，就是能快速的选择需要查看的节点，通过选择节点，用户可以查看该节点对应的网络数据。

节点浏览器由三个类组成，分别是协议节点，物理节点，IP 节点。

用户可以很方便的定位到整个网络，也可以定位到某个 IP段，或是某个 IP。

而右边的数据会根据选择的节点显示相关的数据。

工程状态栏我们为每个工程都提供一个状态栏，用户可以查看当前工程的执行情况和配置状态。

包括使用的过滤器，捕获到的数据包，数据包缓存的占用情况等。

缓存使用率的颜色条默认情况下是蓝色，超过 80%，将变为橙色，超过 90%，则显示为红色。

主视图区网络分析的主要数据结果，都放置在主视图区。

科来网络分析系统 5.0 包含以下视图，每个视图都包含不同的分析结果。

数据排序功能是一个对数据查看很有用的功能，用户对于想查看的数据排序，只需要单击一下列表的字段，就可以进行正序或倒序的排列，如下图所示。

查找带宽占用最大的 IP，或查找数据包发送最多的 IP，利用数据排序将是非常容易的方法。

科来网络分析系统的每一个视图都为用户提供了非常丰富的统计字段，为了适合查看，并没有所有的字段都显示出来。

用户可以通过列表选项来设置显示的数据，右键点击每个视图字段标题，将可以打开显示选项。

科来：回溯分析某银行门户网站被WEB攻击的案例 一、事件背景 2015年5月27日上午9:00-9:10左右，某大型银行门户网站遭受了来自互联网的WEB攻击，该行的安全防护设备对这次攻击进行了封堵，但是网络管理人员却不清楚防护效果和攻击的详情。

该银行在其门户网站的互联网出口部署了科来网络回溯分析设备，将这次攻击完整捕获了下来，为分析取证提供了依据。

二、攻击事件还原与分析 我们可以通过科来网络回溯分析系统快速调出攻击发生时的流量情况： 218.205.57.2在10分钟内向WEB服务器发送了1.11GB的流量，TCP请求达到了31776次。

我们通过科来网络专家分析系统进行深入分析，发现该攻击者针对门户网站所有子URL下的静态文件、动态页面和文档进行遍历请求，为典型的“CC攻击”： 我们同时分析发现，攻击者尝试对这些页面注入攻击（SQL注入和JS脚本注入），但是由于都是静态页面，这些攻击并没有成功，都被服务器返回了:  HTTP  403错误。

另外发现攻击者对某页面/..  /lcjsq/default.shtml 的请求带有..\..\..\..\windows\win.iniX  恶意内容，服务器并没有返回攻击者请求的内容：  科来网络回溯分析系统可以提取出本次攻击的HTTP日志以供内部人员进行深入分析：  三、总结 经过以上分析，我们可以看出本次针对门户网站的攻击： Ø 从攻击的方式可以看出，攻击者希望通过对网站的大规模请求来使网站服务瘫痪，但是数量还没有达到是网站服务瘫痪的量级。

Ø 从攻击的内容来看，攻击者希望对网站的漏洞进行渗透，从而进一步破坏或窃密，网站大部分页面都是静态页面，个别板块为JSP页面。

Ø 攻击者使用单一IP，注入对象多为静态页面，比较盲目，说明攻击者很可能使用的是自动化工具，这或许是攻击者做测试而已。

科来网络回溯分析技术解决方案2015年6月目录1项目背景随着信息化建设步伐的不断加快,信息网络技术在的应用日趋广泛,这些先进的技术给的管理带来了前所未有的便利,也提升了的管理质量和服务水平,同时对行业网络信息和数据的依赖程度也越来越高,因此也带来了不可忽视的网络系统安全问题。

例如:网络规模的不断扩大，网络越来越复杂，应用环境也越来越复杂，网络中的数据流量越来越大，如何保障网络的持续、安全、高效运行是网络运行维护人员面对的巨大挑战。

在这种情况下，网络运行维护人员必须对网络的流量占用、应用分布、通讯连接、数据包原始内容等所有网络行为以及整个网络的运行情况进行充分的了解和掌握，才能在网络出现性能和安全问题时，能够快速准确的分析问题原因，定位故障点和攻击点并将其排除，从而实现网络价值最大化。

2需求分析根据目前的应用及网络状况，需要部署专业的网络分析系统在的网络环境中,对网络中所有传输的数据进行检测、分析、诊断,帮助管理员排除网络事故,规避安全风险,提高网络性能,增大网络可用性价值。

使不用再担心网络事故难以解决,网络分析系统可以把网络故障和安全风险会降到最低,找到网络瓶颈逐步提升网络性能。

在网络日常运维中主要存在如下几个困扰：1) 信息网中运行着大量的服务和设备，一旦业务应用出现问题，需要快速区分是网络问题还是应用问题，而当前对网络和应用问题的分析手段相对缺乏，导致运维团队之间互相推诿责任，问题解决效率迟缓，如何快速定位问题已成为网络管理的迫切需求。

2) 需要掌握重要业务应用链路的流量趋势，流量利用率等情况。

针对性能优化、新业务部署、带宽规划、安全策略等提供科学的依据。

另外还需要对网络通讯按业务类型进行归类和分析，帮助管理人员有效地掌握业务通讯状态，提高管理策略依据。

3) 对影响网络安全的攻击或异常行为，无法及时发现与监控，避免网络出现重大故障甚至瘫痪。

4) 及时发现网络中存在的安全隐患（扫描攻击），以便网络管理人员及时加固和消除。

地铁-科来网络回溯分析解决方案建议书目录1.目前网络运维难点 (2)2.网络回溯分析实现运维目标 (2)3.网络回溯分析应用价值 (4)3.1.安全分析功能 (4)1.1.故障诊断 (5)1.2.网络预警 (5)1.3.决策依据 (5)1.4.责任界定 (6)1.5.业务梳理 (6)1.6.应用监控 (6)1.7.数字取证 (6)4.解决方案 (7)4.1.方案介绍 (7)4.2.网络回溯系统部署方案 (7)4.2.1.全网部署示意图（实现全网监控） (8)4.2.2.车站部署示意图 (10)4.2.3.中心部署示意图 (11)1.目前网络运维难点随着IT的高速发展，网络结构日新月异，云环境已经成为逐渐替换传统网络，成为网络中重要的一部分，但同样也带来了新的运维挑战、云环境的复杂性及未知性、传统网络网元的多样性（路由器、防火墙、WAF、负载均衡、IPS等等），给网络提供高效的传输和管理途径外，也带来了更多的运维难度；据统计，网络故障中75%是间歇性故障，在管理员响应后故障现象已经不再了，而这个故障隐患却一直潜伏着，同时据统计，目前网络故障定位平均时间为2天以上，而故障解决只需要2小时，而这里面还不包含无法定位而不了了之的故障，因此，快速定位故障是一项极为重要的事情。

众所周知，不论是传统物理网络还是云虚拟环境，只要存在网络活动、一定会产生网络行为，而网络行为的基本元素就是数据包，因此网络抓包是网络运维管理的终极手段，无论是网络故障、应用系统故障、安全威胁都能够通过抓包分析得到最终定位，而科来则将数据包“可视化”做到了极致效果，使运维的终极手段能够直接运用到网络管理中。

网络回溯分析系统是一款集网络七层协议分析技术、高性能数据存储和智能数据挖据技术、分布式数据处理技术的高性能硬件平台，实现全天候7*24小时不间断抓包监控，能够为用户提供其他网络和安全产品所不可替代的价值。

2.网络回溯分析实现运维目标主动性网络管理，减少网络瘫痪和性能下降的时间减少网络故障，缩短网络系统宕机时间，避免无法估量的经济损失；减少解决网络故障的时间通过使用全流量分析系统监控可以更快捷、更有效的诊断网络故障，大幅度减少解决网络故障的时间。

科来网络回溯分析系统前端节点技术指标科来网络回溯分析系统前端节点技术指标1.总体功能能够分布式部署在需要监控的网络节点，长期实时分析并捕获流量，发现网络中存在的窃密行为，同时对捕获到的网络通讯数据包进行长期存储，从而提供对任何时间点的通讯数据进行回溯分析的能力。

2.界面要求支持全中文界面和资料文档，要求提供全中文的分析界面，要求提供全中文的文档资料。

3.系统部署1.分布式部署，要求能够部署在远程网络中进行长期实时分析，通过专用的控制台软件过网络进行远程分析。

2.要求能支持流量镜像、分路器等方式部署。

3.在采用镜像方式进行部署时，能够通过设定本地网络，区分内部和外部地址，并分别统计上行和下行流量。

4.能够实现链路聚合功能，能将多网卡的流量聚合捕获分析。

5.支持多任务分析，能够针对某网络接口支持多个捕获和分析任务同时进行分析。

4.应用定义6.能够灵活的自定义应用，针对自定义的应用进行流量监测分析。

7.可根据端口或端口范围、端口组自定义应用。

8.可根据地址、地址组、地址范围自定义应用。

9.可根据地址端口自定义应用。

10.可根据网段、网段组自定义应用。

5.数据捕获保存11.能够实时捕获并保存网络中的通讯数据包。

12.网络中的通讯数据包能够长期保存，设备的存储容量不低于。

13.数据包以专用格式存储，只能采用专用的控制台软件读取和导出，不能用其他工具读取并导出。

14.数据包保存的性能要求能够实现线速保存能力，数据包处理性能不低于。

15.能实时长期保存网络中的所有的网络总体流量统计数据包括比特率（上下行）、数据包率（上下行）、网络中数量、数量、数量。

16.能实时分析并长期保存网络中的所有数据流统计数据，包括详细的会话流、会话流、会话流数据，数据精度到秒级。

17.捕获数据包时能够根据条件过滤捕获，包括根据地址、地址段、通讯协议、端口等条件过滤捕获。

6.数据检索分析要求18.能够和原有的科来网络回溯分析系统控制台配合，通过控制台方便的检索捕获的任意时间范围的网络通讯数据。

快速入门指南TS-01-0005科来网络分析系统6.9 快速入门指南本文档属商业机密文件，所有内容均为科来软件独立完成，属科来软件内部机密信息，未经科来软件做出明确书面许可，不得为任何目的、以任何形式或手段（包括电子、机械、复印、录音或其他形式）对本文档的任何部分进行复制、修改、存储、引入检索系统或者传播。

© 2009 科来软件 保留所有权利技术支持部科来软件电话：86-28-85120922传真：86-28-85120911网址：邮件：support@目 录引言 (2)1新建工程 (2)2开始捕获 (2)3整体布局 (2)3.1菜单 (3)3.2工具栏 (3)3.3 节点浏览器 (3)3.4 工程状态栏 (4)3.5 主视图区 (4)4工程设置 (12)4.1常规 (13)4.2网络适配器 (14)4.3过滤器 (15)4.4网络配置 (16)4.5日志设置 (17)4.6诊断设置 (18)5数据管理 (18)5.1 工程文件 (18)5.2数据包 (19)引言网络分析是一门非常专业的技术，需要分析者具备相当的网络知识，同时对网络分析软件使用的熟悉程度，也在很大程度决定着故障排查的效率性和准确性。

但是作为初次使用网络分析软件的用户来说，他们可能会有疑问：通过网络分析软件能得到什么数据，这些数据能帮助我们做些什么，我们如何使用这些数据等等。

目前流行的网络分析工具中，国外产品主要有Sniffer，Omnipeek, Ethereal，国内产品则只有科来网络分析系统。

科来网络分析系统是一个专业的网络分析软件，刚刚接触它的朋友在使用时可能存在一些疑问，不知道如何使用快速上手，下面我们就对科来网络分析系统进行简单介绍，希望能对初次使用科来网络分析系统的朋友有所帮助。

1新建工程工程可以被理解为一次分析任务。

捕获数据之前，用户需要创建一个新工程。

系统在启动时默认创建一个新工程，用户也可以通过菜单“文件->新建”和工具栏中的“新建”进行手动创建新工程。

科来网络分析系统教学版1、什么是网络分析网络分析是通过对网络中流动的数据包的特征分析，从而全面而精确的了解自己的网络的系统。

现在很多企事业单位网络中存在很多问题，购买了很多网络管理软件，但是问题仍然存在，不能从根本上发现和解决问题，其根本原因是对自己的网络并不了解：网络中到底每天都在传输什么数据、网络有什么优势（很多人认为配备高端的设备，网络就好，其实并不一定），网络存在哪些隐患、网络存在什么风险、网络的抗压能力如何？这些问题，很多单位并不了解，而网络分析系统就是一套能让网络管理人员全面而真实的了解自己网络的工具。

广大的政府和各企事业单位迫切需要这样的系统来为自己诊脉，网络分析的时代已经来临。

作为中国的高校、高职、中职等，中国的人才加工厂，不断的给学生引导和教授先进的理念和专业知识，也是任重而道远！2、高校为什么开设网络分析课程高校开设计算机教学的目的是为社会培养计算机方面的人才，培养动手能力强、水平较为高端的人才，能很快适应社会需要的人才，而网络分析是网络管理里较为高深的领域，尽早接触和熟悉网络分析领域可以提高学生的网络管理能力和网络管理意识，从而能够更快更好的服务于企业、服务于社会。

3、科来网络分析教学版功能描述（1）网络运行故障的分析诊断。

（2）全局到节点的网络流量统计。

（3）了解流量应用组成以及如何被利用。

（4）清晰了解网内各种应用系统的运行情况：连接数、握手时间、连接数、拒绝数等。

（5）监测网络带宽利用率。

（6）网络故障自动诊断，提供故障定位。

（7）捕获网络数据包、检测网络传输的所有数据。

（8）数据包的构造器：通过自行购在数据包，可以对网络性能进行压力测试。

、（9）数据包播放器：可以把保存的数据包进行重新播放，呈现曾经网络运行的实际情况，以便和目前的运行情况进行比较。

（10）自动发现IP、端口、主机会话和物理端点。

（11）监测伪造的IP，找到病毒感染主机或攻击源。

（12）监测内网web访问情况。

产品使用手册科来网络分析系统５．０　产　品　使　用　手　册　© 2003-2005 成都科来软件有限公司 版权所有 保留所有权利Web ： /products/Email ： support@Phone ： 86-28-85120922Fax ： 86-28-85120911系统要求Expert 10/100/1000 Ethernet Network Monitor 科来网络分析系统　目录一．产品概述 (4)1. 版本信息 (5)2. 使用许可协议 (5)3. 购买信息 (6)4. 服务与技术支持 (7)二．功能与特性 (7)1. 统计分析 (8)2. 图表统计 (8)3. 报表 (8)4. 打印和打印预览 (8)5. 支持更多协议 (8)6. 命令行支持 (9)7. 名字表 (9)8. 统计快照 (9)9. 数据包摘要解码 (9)10.强大的日志功能 (9)11.支持拨号上网 (9)12.强大的过滤 (10)13.定位节点 (10)14.支持多网卡同时分析 (10)15.高级分析模块 (10)16.支持本地环回 (10)17.相关数据包 (10)18.节点浏览器 (10)19.工程状态栏 (11)三．产品部署说明 (11)1. 共享网络- 通过Hub连接上网 (11)2. 交换式网络- 交换机具备管理功能（端口镜像） (12)3. 交换式网络- 交换机不具备管理功能（端口镜像） (12)4. 定点分析某个网段 (13)5. 使用集线器Hub、分接器TAP、交换机Switch的区别？ (14)四．安装与卸载 (15)1. 产品安装: (15)2. 产品卸载： (15)3. 系统要求 (15)4. 产品授权 (16)5. 产品激活 (16)6. 产品注册 (17)五．快速使用 (17)1. 启动方式 (18)2. 捕获数据包 (18)3. 选择网卡 (19)4. 设置显示选项 (20)5. 数据排序 (20)6. 数据复制 (21)7. 导入导出 (21)8. 工程保存 (22)9. 打印 (23)10.生成日志 (24)六．工程 (24)1. 菜单 (26)2. 工具栏 (28)3. 开始页面 (28)4. 节点浏览器 (28)5. 工程状态栏 (29)七. 主视图区 (30)1. 概要统计 (31)2. 端点 (34)3. 协议 (34)4. 数据包 (35)5. 连接 (37)6. 日志 (38)7. 图表 (38)八．工程设置 (39)1. 工程设置－常规 (39)2. 工程设置－网络适配器 (41)3. 工程设置－过滤器 (41)4. 工程设置－网络配置 (42)5. 工程设置－高级分析模块 (43)九．　系统选项 (44)十．统计分析 (45)十一．图表 (46)1. 图表选项 (47)2. 图表对比 (48)十二．报表 (49)十三．日志 (50)十四．数据包解码 (52)1. 概要解码 (54)2. 字段解码 (54)3. 十六进制解码 (55)十五.TCP数据流重组 (55)十六．过滤器 (56)1. 简单过滤 (57)2. 高级过滤 (60)十七.名字表 (62)十八.命令行 (64)一．产品概述科来网络分析系统是一个集数据包采集、解码、协议分析、统计、日志图表等多种功能为一体的综合网络分析系统。

回溯追踪ARP扫描攻击----------科来网络回溯分析系统1. 科来网络回溯分析系统产品概述科来网络回溯分析系统是能够长期记录网络通讯数据，并提供基于时间的数据挖掘分析系统。

它拥有独特的网络管理能力，实现了数据的海量存储及快速的历史数据回溯分析功能，使网络分析突破时间的限制，在数据挖掘、追踪定位以及安全取证等方面更精确、高效，从而帮助用户解决当今最困难的网络问题。

科来网络回溯分析系统由分析服务器、分析控制台和分析管理控制中心组成，实现了从庞大的本地网到跨地域跨分支的广域网的方便、快捷的数据采集、分析和解码，快速完成网络故障诊断、网络应用分析、性能分析以及协议分析等功能。

科来网络回溯分析系统（部署图示）2. ARP扫描攻击追踪性分析上面介绍了科来网络回溯分析系统，有些回溯产品的用户在反馈说科来的回溯产品很强大，但在查找、定位起来感觉有些困难。

其实科来网络回溯分析系统已经充分考虑了这些问题，并提供了相应的解决办法。

由于之前大家都习惯了使用科来便携式分析系统的分析模式，感觉通过诊断和安全分析方案即可很方便的对网络问题进行发现并定位，其实回溯的产品更加准确、方便、实用。

下面我来说一下上周一个客户遇到的问题。

该用户在网络中部署了科来网络回溯分析系统，监控的内容包括：DMZ区应用服务器、分支机构VPN流量、内网的上网流量。

该用户在一些设备上报出了Arp攻击的错误信息，最终去没有找到相关的异常设备。

其实目前对ARP的问题存在两个问题：1、故障产生，并且有大量机器能显示报错，但是没有保存下有效数据，进行定位分析及取证2、数据太多，无法快速查找、定位，并且进行追溯性分析。

现在就来介绍一些如何通过科来网络回溯分析系统进行ARP故障的诊断、定位。

1、选择分析的时间，回溯数据至故障时间段。

2、选择窗口的显示单位，由于我们尽量多的去查找ARP，在这里我们选择10天窗口。

3、选择数据的呈现方式。

虽然科来能提供多种呈现方式，在这里我们选择根据物理地址进行显示。