软件使用-科来网络分析系统50使用介绍VIP

1、科来网络分析系统5.0 使用介绍软件使用 科来网络分析系统 5.0 使用介绍一、系统安装1. 系统需求1)最小需求P3 500 CPU256 MB内存10M/100M自适应网卡Windows 2000(SP4或 SP4 更高 ) ，Windows XP(SP1或 SP1 以上 ) ，Windows 2003Internet Explorer 5.5或更高版本2)推荐需求P4 2.0G CPU512 MB 或 512 MB以上内存Inter 或 3COM 网卡Windows 2000(SP4或 SP4 以上 ) ，Windows XP(SP1或 SP1 以上 ) ，Windows 2003Int

2、ernet Explorer 5.5或更高版本2.安装环境1)共享式网络使用集线器（ Hub ）作为网络中心交换设备的网络即为共享式网络，集线器（Hub ）以共享模式工作在 OSI 层次的物理层。如果您局域网的中心交换设备是集线器（Hub ），可将科来网络分析系统可安装在局域网中任意一台主机上，此时科来网络分析系统可以捕获整个网络中所有的数据通讯。2)交换式网络使用交换机 （ Switch）作为网络的中心交换设备的网络即为交换式网络。交换机（ Switch）工作在 OSI 模型的数据链接层，交换机各端口之间能有效地分隔冲突域，由交换机连接的成都科来软件有限公司电话：

3、mail ： sales传真：upport1/18科来网络分析系统5.0 使用介绍网络会将整个网络分隔成很多小的网域。如果您局域网的中心交换设备是交换机连接（Switch），科来网络分析系统的安装有以下两种情况：交换机具备镜像端口功能当前网络中大多数三层或三层以上交换机以及一部分二层交换机都具备端口镜像功能，当您网络中的交换机此具备功能时，可在交换机上配置好端口镜像（关于交换机镜像端口），再将科来网络分析系统可安装在连接镜像端口的主机上即可，此时科来网络分析系统可以捕获整个网络中所有的数据通讯。交换机不具备镜像端口功能当您网络中的交换机不具备端口镜像功能时，可通过以

4、下两种方式实现对网络数据的捕获。串接一个分路器（Tap ）在中大型网络中，可在交换机与网络出口设备（路由器或防火墙）之间串接一个单端口分路器， 并将科来网络分析系统安装在连接此分路器端口的主机上， 此时科来网络分析系统可以捕获整个网络中的所有进出数据通讯。串接一个集线器（Hub）在小型网络中，可在交换机与网络出口设备（路由器或防火墙）之间串接一个集线器（ Hub ），并将科来网络分析系统安装在连接此集线器任意端口的主机上， 此时科来网络分析系统可以捕获整个网络中的所有进出数据通讯。3) 检测一个网段在某些情况下您只需要对网络中某一个网段（如某一个部门） 的数据通讯进行捕获。如果连接此网段的交换

5、机具备端口镜像功能，那么可将科来网络分析系统安装在连接此交换机镜像端口的主机上，此时科来网络分析系统可以捕获此网段主机的所有数据通讯；如果连接此网段的交换机不具备镜像端口功能，那么可在此交换机与它的上层设备之间串接一个集线器或分路器或具备端口镜像的交换机，并将科来网络分析系统安装在连接此设备的主机上，此时科来网络分析系统可以捕获此网段主机的所有进出数据通讯。注意 : 大多数交换机端口镜像的设置方法都存在差异，如果您在设置时遇到困难，可参见交换机随机配套的方盘或说明书，或者访问<获取镜像端口的配置信息，更详细的安装环境请参见科来网络分析系统5.0程序自带的帮助文件。成都科来软件有限公司电话

6、：mail ： sales传真：upport2/18科来网络分析系统5.0 使用介绍二、科来网络分析系统5.0主要功能介绍1. 界面预览安装好后， 双击桌面上科来网络分析系统的快捷方式，打开系统主界面，输入产品序列号和安装号（可以先不用激活，不过在未激活只能使用15 次），然后单击主界面工具栏上的“开始”按钮，科来网络分析系统开始捕获当前网络中的数据通信，并自动将当前工程文件命令为“工程一 ”，如图 1 所示。（注：在科来网络分析系统5.0中，工程是指对捕获任务进行设置和过滤的计划安排，同时也是捕获数据的显示区域和容器，并且可将此区域或容

7、器中的数据保存到磁盘。）（图 1科来网络分析系统5.0 主界面）从图 1 中可知，科来网络分析系统5.0主界面布局从上到下为标题栏、菜单栏、工具栏、主视图区和状态栏； 主视图区位于界面的中间部分， 它主要由三个部分组成， 左上部的节点浏览器、左下部的工程状态栏、右边的视图内容显示区，下面分别对其进行介绍。成都科来软件有限公司电话：mail ： sales传真：upport3/18科来网络分析系统5.0 使用介绍2. 节点浏览器节点浏览器最大的作用， 是能快速定位需要查看的节点， 通过节点的定位， 用户可以快速准确地查看该节点对应的网络数据

8、通讯。节点浏览器中的节点类型有三种，协议、物理端点、 IP 端点，详细介绍如下。协议 ：以树状层级方式显示出当前网络中的通讯所使用的协议，当网络中出现使用某协议进行通讯的数据包时，系统自动将此协议添加到协议节点的相应位置。选中某协议时， 主视图显示区中各视图均只显示使用该协议进行通讯的信息。如当用户希望查看访问互联网（默认情况下使用标准的HTTP 协议）的信息时，可通过如图2 的方式对协议进行定位，此时，主视图区的所有视图均只显示网络中使用HTTP协议通讯的信息。另外，使用协议节点，还可以有效得出网络中正在使用的服务，从而确定网络中是否存在非常用协议的异常数据通讯，如非法ARP 攻击。（图2节

9、点浏览器的协议节点中定位HTTP协议）IP端点：以树状方式显示当前网络中的通讯所涉及到的IP 地址， IP 端点以逻辑IP 地址为显示的依据， 它的下级分类里常用的有本地子网、私有网络、广播地址、 组播地址、 Internet地址等， 系统捕获到某个IP 地址时会自动将其加入到相应的分类中。通过 IP 端点，用户可以方便地定位一个网络，一个网段，或一个IP 主机，定位某个节点时，主视图显示区中各视图均只显示与该节点有关的数据通讯信息。图3 中，将节点定位在了IP 端点下本地子网成都科来软件有限公司电话：mail ： sales传真：upp

10、ort4/18科来网络分析系统5.0 使用介绍的 /24网段上，此时主视图区的所有视图均只显示与/24主机相关的数据通讯信息。另外，使用IP 端点节点，可以有效确定任何网段内部主机间的流量；可以有效得出当前网络中活动的IP 主机，并确定这些活动主机是否正常，即是否为网络中不存在的IP 主机（伪造IP ），从而确定网络中是否存在伪造IP 地址的攻击。网段（图 3节点浏览器的IP 端点中定位/24网段）（图 4 节点浏览器的物理端点中定位D-LINK:47:E8:DF主机）物理端点 ：以树状方式显示当前网络中的通讯所涉及到的MAC

11、地址和 IP 地址，物理端点以网络的物理拓扑结构为显示的依据，它的下级分类里默认有本地网段、网关、广播地址、组播地址，系统捕获到某个MAC 地址或 IP 地址时会自动将其加入到相应的分类中。通过物理端点，用户可以方便地定位一个网络，一个MAC 地址（即一块网卡）或一个IP 主机，定位某个节点时，主视图显示区中各视图均只显示与该节点有关的数据通讯信息。图4 中，节点被定位在物理端点下本地网段中MAC 地址为 D-LINK:47:E8:DF的主机，此时主视图显示区的所有视图均只显示与D-LINK:47:E8:DF主机有关的数据通讯信息。另外，使用物理端点节点，可以有效确定任何网段内部主机间的流量；

12、通过MAC 地址与 IP 地址的成都科来软件有限公司电话：mail ： sales传真：upport5/18科来网络分析系统5.0 使用介绍对应比较，可以有效确定网络中是否存在用户私自更改否存在伪造IP 地址或 MAC 地址的攻击。IP或MAC的情况，以及网络中是3. 工程状态栏主要用于显示当前工程文件的状态统计信息， 具体包括数据包过滤器、数据包、丢失的数据包、接受的数据包、拒绝的数据包和缓存使用率，如图错误数据包、 捕获的5 所示。（图 5工程状态栏）单击 “丢失的数据包 ”、“接受的数据包 ”、“拒绝的数据包 ”、“缓存使用率 ”，

13、可将其显示方式在具体值和百分比间切换；双击 “数据包过滤器 ”、“接受的数据包 ”、“拒绝的数据包 ”可打开过滤器设置对话框，双击 “缓存使用率 ”将打开常规设置对话框。4. 主视图显示区主视图显示区是系统与用户最主要的交流平台， 它最大的作用是显示网络中各种数据通讯信息。它包括概要统计、节点、协议、数据包、连接、日志、图表七个视图，用以显示节点浏览器中选定节点所对应的不同数据通讯信息。（注： 在节点浏览器中选择不同节点时， 各视图中的数据会发生相应的改变，指明节点的位置，均表示节浏览器中选定的是根节点，即当前工程名。 ）以下如未明确概要统计 ：概要统计用来显示当前网络通讯的各种信息统计值，

14、通过这些值， 我们可以知道网络的流量占用、数据包大小分布、错误包以及 TCP 连接等信息，具体包括：统计信息：显示科来网络分析系统开始运行的日期、时间，以及持续运行的时间。物理错误：显示网络中的物理错误数据包数，包括CRC 错误、对齐错误、过大数据包错误和过小数据包错误。如果系统捕获到网络中有较多此类物理错误的数据包，表示当前网络的物理层可能存在故障，具体可能是由网络设备及线路干扰过大、网线 RJ45 头损坏、接触不良、线路两端设备速率不匹配等情况造成。802.3错误：显示网络中IEEE802.3错误的数据包数，包括802.3一次冲突错误、802.3多次冲突错误、802.3最大冲突错误和802

15、.3延迟发送错误。当网络中出现较成都科来软件有限公司电话：传真：028-85120922028-851209116/18Email ： sales support科来网络分析系统5.0 使用介绍多此类物理数据包时， 表示网络的传输存在故障， 具体可能是由网络阻塞、 两端设备速率模式不匹配、传输线路超出规定范围、网络设备（如网卡）硬件错误等情况造成。网络流量： 显示网络中数据通讯的流量占用情况，包括总共流量、 广播流量和组播流量。对每种流量，又可详细统计出其字节，数据包，每秒数据包，利用率等信息，通过这些信息，我们可以知道当前网络的总体工作状态：当总共流量的利用率超过50% ，表示网络的负载过重

16、；广播流量或组播流量大于总流量的20% ，表示网络中可能存在广播/ 组播风暴或ARP 攻击。数据包大小分布：显示网络中数据包的大小分布情况，不同大小的数据包，都可对其总共字节、数据包数、 每秒数据包数、 以及利用率等信息进行统计，通过数据包大小分布，可以知道网络的通讯质量，如当<=64或 >=1518的数据包过多，占用总流量比例过大时，表示网络中可能存在非正常的网络通讯，如碎片或数据包溢出攻击。最常见的数据包大小： 显示网络中数量最多的数据包的大小以及这些数据包的流量占用情况， 包括这些数据包的个数，占用字节数， 每秒数据包数以及利用率等信息。通过这些信息， 我们可以知道当前网络通

17、讯中最多的数据包是什么，并判定其相应的服务， 如1518 和 64 字节左右的数据包排在前两位，表示网络中可能存在大文件的上传下载操作；另外，如网络中某固定大小的数据包占用流量及利用率均很高，表示网络中可能存在 DOS/DDOS/DRDOS攻击。TCP 数据包：显示网络中的TCP 数据包数，包括TCP 同步数据包、 TCP 结束连接数据包、 TCP 复位数据包、 TCP 错误检验和数据包、TCP 重传数据包以及 TCP 零窗口数据包，对每一种 TCP 数据包，都可以显示出其占用字节数，数据包个数，每秒数据包数以及利用率等信息，通过这些信息，可以知道网络中的通讯是否正常。如TCP 同步数据包和

18、TCP 复位数据包大大超过其他类型数据包时，表示网络中可能有扫描器在工作，或者网络中有主机正在被扫描攻击；当TCP 重传数据包过多时，则表示网络的通讯质量极低，可能存在环路现象；当TCP 零窗口数据包较多时，表示对端主机当前无法接受数据，对方主机系统可能存在故障。TCP 连接：显示网络中的TCP 连接数，可统计出初始化的TCP 连接数、成功建立的TCP 连接数、 拒绝的 TCP 连接数和复位的TCP 连接数。 通过对这些信息的统计， 我们可以知道网络中的 TCP 通信是否正常，如初始化的TCP 连接数较多，而成功建立的TCP 连接数很少时，表示网络中的主机可能感染病毒，且此病毒正在试图连接其他

19、主机的某些 TCP 端口以进行感染； 拒绝的 TCP 连接数较多时， 表示网络可可能存在端口扫描攻击或用户名密码破解攻击。SMTP 分析：显示使用SMTP 协议进行邮件发送的信息，包括建立的SMTP 连接数，失败的 SMTP 连接数、服务器应答错误数，以及发送的邮件数等等。通过这些数据，我们可以确定网络中的邮件发送是否正常，如网络中的 SMTP 服务器工作是否正常 （包括工作效率）；网络中的 SMTP 服务器是否可能被黑客控制，正被用于处理垃圾邮件；网络中是否存在感染蠕虫病毒的主机；网络中是否存在破解邮箱用户名密码的情况。POP3 分析：显示使用POP3 协议进行邮件接收的信息，包括建立的PO

20、P3 连接数，失败的 POP3 连接数、服务器返回错误数，以及接收的邮件数等等。通过这些数据，我们可以确定网络中的邮件接收是否正常，如邮件的POP3 服务器是否正常工作（包括其工作效率） ；网络中是否存在破解邮箱用户名密码的情况。FTP 分析：显示网络中FTP 传输数据包的统计信息，包括FTP 控制连接数、登录失败次数、 成功的数据连接数、以及访问的服务器数等。通过这些信息，我们可以确定网络中进行 FTP 数据上传下载的情况， 包括 FTP 服务器的数据是否被未被允许的上传下载，成都科来软件有限公司电话：mail ： sales传真：up

21、port7/18科来网络分析系统5.0 使用介绍网络中是否存在FTP 账户的用户名密码的情况，以及对上传下载的数据进行统计。HTTP分析：显示网络中上网的统计信息，包括HTTP连接数、 HTTP请求数、通过HTTP 端口传输非HTTP 数据的连接数、访问过的HTTP 服务器数等。通过这些信息，我们可以对网络中的网页浏览进行统计，并确定网络中是否存在使用HTTP代理的程序，如通过HTTP 端口传输非HTTP 数据的连接数较大时，说明网络中可能正在运行使用 HTTP 代理服务器工作的程序，如QQ 、 MSN 等 P2P 软件。端点 ：端点视图可以有效显示出当前网络通讯所涉及到的节点情况，有三种端点

22、类型，如图6 所示，当前选定的类型为All 。All 、 Physical、 IP（图6端点视图）从上图可以清楚地得出当前网络中所有主机（包括一个网段、 一个物理 MAC 地址、一个 IP ）的具体流量占用情况，如总流量最大的主机、发送流量最大的主机、接收流量最大的主机、收发数据包数最多的主机、发送数据包最多的主机、接收数据包最多的主机、内部流量、以及广播流量最大的主机等信息。通过这些信息，我们可以确定网络中是否广播 / 组播风暴，并帮助用户排查网络速度慢、网络时断时续、蠕虫病毒攻击、 DOS 攻击、以及用户无法上网等网络故障。协议 ：协议视图可以有效显示网络中数据通讯所使用的协议，协议采用树

23、状层级方式显示，对每一种协议， 都对其占用的流量、使用此协议的数据包个数、此协议的流量在总流量中的百分比、以及使用此协议的数据包在总数据包中的百分比进行了统计，如图7 所示。通过成都科来软件有限公司电话：mail ： sales传真：upport8/18科来网络分析系统5.0 使用介绍协议视图对各视图占用流量及百分比的统计，用户可以得出当前网络中占用流量最多的协议，即当前网络中占用流量最多的服务类型， 并帮助用户排查网络速度慢、 邮件蠕虫病毒攻击、网络时断时续以及用户无法上网等网络故障。（注： 查看协议占用的比例时，需对应科来网络分析系统

24、协议列表中各层次的协议关系，在同级协议之间比较，如 TCP 与 UDP ，HTTP 与 SMTP 等，如果使用 TCP 与 DNS 等不同级的协议进行比较，得出的结果将不准确。 ）（图 7协议视图）数据包 ：数据包视图用来显示网络中数据通讯的原始信息，对其进行原始解码分析，它包括数据包显示区和下方的解码视图区，解码的内容包括数据包所有层次的信息。通过解码信息，我们可以知道，网络中的数据包的类型、网络中传输的数据包是否正确、网络中IP 数据包的版本； 并确定目标主机是否在运行客户端主机所请求的服务、源主机到目标主机间的路由时间（即链路长度） 、目标主机对客户端主机请求的服务的响应时间、网络中传输

25、的数据是否为紧急数据、 数据包在网络中经过的路由跳数、网络中是否存在环路现象、以及用户访问目标主机某服务的原始步骤等等。其界面如图8 所示。成都科来软件有限公司电话：mail ： sales传真：upport9/18科来网络分析系统5.0 使用介绍（图 8数据包视图）连接 ：连接视图专指 TCP 连接，用来显示网络中 TCP 连接的信息，包括成功的、失败的、活动的、停止的、正在建立的、已建立的、正在关闭的、已关闭的。并在下方的子窗口中显示当前选定连接的基本通信信息、TCP 数据流重组信息、原始数据包信息、对应的日志文件。对于每条连接，都可

26、统计其源地址、目标地址、当前状态、协议、该连接收发的数据包及这些数据包的大小等信息。通过这些信息， 我们可以确定出当前网络中TCP 通讯的情况，如查看两台主机之间的通讯内容、网络中是否存在TCP 端口扫描攻击、网络中是否存在基于 TCP 协议的服务的账户用户名密码破解攻击、网络中是否存在邮件蠕虫病毒攻击、网络中是否存在长时间连接且流量小的TCP 连接（ QQ/MSN 等程序使用 HTTP 代理即为此现象）；下方的TCP 数据流重组，可以方便地得出当前选定连接的原始操作信息，通过TCP连接的原始信息，我们可以确定这些TCP 通讯的内容、步骤，并断定此连接是否正常。其界面如图 9 所示， 图中显示

27、的内容表示当前的连接是一个通过HTTP 协议访问网页的情况。成都科来软件有限公司电话：mail ： sales传真：upport10/18科来网络分析系统5.0 使用介绍（图 9连接视图）日志 ：日志视图记录网络中用户的高级网络运用，包括HTTP 请求（网页浏览） ，邮件信息（通过 SMTP/POP3进行的邮件收发）以及FTP 传输（通过FTP 进行的数据上传下载） ，并可根据用户的需要将这些日志信息保存到硬盘以备查阅。其界面如图10 所示，当前选定的是 HTTP 请求的日志视图。成都科来软件有限公司电话：ma

28、il ： sales传真：upport11/18科来网络分析系统5.0 使用介绍（图10日志视图）在 HTTP 请求日志视图中，每条日志均表示由用户发起的一个HTTP 请求，对于日志信息，系统可以捕获并统计出其对应的客户端地址、服务端地址、请求网址、请求方法、 服务器响应、服务器返回的状态码、以及这条日志所持续的时间等信息。通过这些信息，我们可以有效查看网络中所有用户或者指定某用户的网页浏览情况（包括请求/ 被请求的网址信息，以及访问的频率） ，从而确定网络中是否存在恶意网页访问（攻击Web 服务器 80 端口）、以及 Web 服务器的工作状态是否正常。在邮件信息日

29、志视图中，每条日志均表示用户通过 SMTP/POP3 协议成功进行的邮件收发操作， 对于每条日志信息，可以捕获并统计出其对应客户端地址、 服务端地址、邮件发送者及其邮件地址、 邮件接收者及其邮件地址、 邮件抄送者、 邮件客户端软件、 邮件内容的大小、邮件是否携带附件、 以及这条日志对应操作的精确时间。 通过这些信息， 我们可以有效查看网络中所有用户或指定用户的邮件收发情况， 从而确定网络中的邮件收发是否正常、 是否存在邮件蠕虫病毒攻击、是否存在对邮件服务器的攻击等情况。在 FTP 传输日志视图中，每条日志均表示用户从 FTP 服务器上传 / 下载一个文件的操作。对于每条日志信息， 可以捕获并统

30、计出其对应客户端地址、服务器端地址、 账号信息、 操作类型（上传或下载） 、传输模式（主动或被动）、传输的总字节数和总包数等信息。通过这些信息，我们可以有效查看网络中的FTP 文件传输情况，从而确定网络中的FTP 传输是否正常、网络中是否存在FTP 攻击（攻击相应主机后通过FTP 方式对其进行上传下载文件的操作）等情况。成都科来软件有限公司电话：mail ： sales传真：upport12/18科来网络分析系统5.0 使用介绍图表 ：图表视图的内容与统计概要的内容相同，它使用图表方式形象地显示当前的网络通讯情况，包括错误数据包、常规、T

31、CP 分析、邮件分析、FTP 分析和 HTTP 分析子项，每个子项中都可通过不同显示时间以及不同图表类型等情况进行显示。其界面如图11 所示，图中显示的是数据包大小分布情况。（图11图表视图）错误数据包：包括物理错误包的统计信息、 802.3 错误包的统计信息、以及错误包与正常包的对比信息。 通过这些信息， 我们可以确定网络的工作状态是否合理、 网络的链路层是否存在故障、网络的传输是否存在故障、网络设备（如网卡）是否存在硬件错误、传输线路是否超过规定范围、网络对端设备的速率是否匹配、线路干扰是否过大等情况。常规： 对网络整体或用户选定节点的常规信息进行统计并以图表显示，包括网络利用率、数据包数

32、量、 数据包大小分布等情况，通过这些信息， 我们可以确定网络或用户选定节点的主机的工作状态是否过于繁忙、 网络中是否可能存在网络攻击、 网络中数据包的增长趋势图等情况。TCP 分析：对网络中的TCP 连接进行统计并以图表方式显示，包括TCP 连接、包、 TCP 同步包、结束包和复位包等信息。通过这些信息，我们可以确定网络内包的传输质量、网络中是否存在自动运行的重传攻击、是否存在端口扫描攻击等信息。TCP 数据TCP 数据邮件分析： 对网络中的邮件收发信息进行统计并以图表方式显示，通过此表， 我们可以确定成都科来软件有限公司电话：传真：028-85120922028-8512091113/18E

33、mail ： sales support科来网络分析系统5.0 使用介绍网络中发送与接收邮件的数量、 比例，并帮助用户判断网络中是否有被邮件病毒感染并发起邮件蠕虫病毒攻击的主机。FTP 分析：对网络中的FTP 数据传输信息进行统计并以图表方式显示，通过此表，我们可以确定网络中通过 FTP 进行上传或下载的文件的数量、 比例，并帮助用户判断网络中的 FTP上传下载是否正常。HTTP 分析：对网络中的HTTP 网页访问信息进行统计并以图表方式显示，通过此表，我们可以确定网络中 HTTP请求（网页访问）的数量、增长趋势，并帮助用户判断网络中的网页访问是否正常。5. 报表科来网络分析系统提供的报表功能

34、可以将网络中的各种信息输出为html格式的报表文件，其中报表包括的内容有概要统计视图的内容、协议统计视图的内容、TOP 10的物理地址、TOP 10 的 IP 地址、 TOP 10 的本地 IP 地址、 TOP 10 的远程 IP 地址、以及图表视图的内容。三、科来网络分析系统5.0主要数据及数据的分析利用科来网络分析系统5.0 中的主要数据及数据对应的分析利用简表如表1 所示。节点浏览器主要数据区数据内容树状层级方式显示网络中通协议讯使用的协议树状方式显示当前网络中通IP 端点讯所涉及到的IP 地址树状方式显示当前网络中通物理端点讯所涉及到的MAC 地址和IP 地址数据分析利用有效查看网络中

35、使用的服务；确定网络中是否存在异常数据通讯；确定网络中是否存在异常攻击（如 ARP 攻击）；查看网段内部主机间的流量；确定网络中活动的IP 主机；确定活动主机工作是否正常；确定是否存在伪造 IP 地址的攻击；查看网段内部主机间的流量；确定网络中是否存在非法更改 IP/MAC 的情况；确定网络中是否存在伪造 IP/MAC 地址的攻击；概要统计视图主要数据区数据内容数据分析利用CRC 错误网络中出现较多此类物理错误的数据包时，表物理错误重组错误示网络的物理层存在故障，具体可能是网络设过大数据包备及线路干扰过大、 网线 RJ45 头损坏、接触不过小数据包良、线路两端设备速率不匹配等。802.3 错误

36、一次冲突错误网络中出现较多此类错误数据包时，表示网络成都科来软件有限公司电话：mail ： sales传真：upport14/18网络流量数据包大小分布最常见的数据包大小TCP 数据包TCP 连接SMTP 分析POP3 分析FTP 分析HTTP 分析端点视图主要数据区All/Physical/IP三种 端点数据多次冲突错误最大冲突错误延迟冲突错误总共流量广播流量组播流量网络中不同大小数据包分布情况网络中数量最多的数据包TOP10TCP 同步数据包 TCP 结束连接数据包TCP 复位数据包TCP 错误检验和数据包TCP 重传数据包 TCP

37、零窗口数据包初始化的 TCP 连接数成功建立的 TCP 连接数拒绝的 TCP 连接数复位的 TCP 连接数使用 SMTP 协议进行邮件发送的信息使用 POP3 协议进行邮件接收的信息使用 FTP 进行文件上传下载的信息使用 HTTP 访问网页的信息数据内容网络中所有主机的占用情况总流量最大的主机科来网络分析系统 5.0 使用介绍的传输存在故障，具体可能是由网络阻塞、两端设备速率模式不匹配、传输线路超出规定范围、网络设备（如网卡）硬件错误等情况造成。得出网络的总体工作状态，如总共流量的利用率超过 50% ，表示网络的负载过重；广播流量或组播流量大于总流量的 20% ，表示网络中可能存在广播 /

38、组播风暴或 ARP 攻击。确定网络的通讯质量；确定网络中是否存在碎片或溢出攻击等非正常访问。确定网络中使用最频繁的服务；确定网络中是否可能存在DOS/DDOS/DRDOS攻击。确定网络中是否有扫描器在工作或是否有主机被扫描攻击；确定网络的通讯质量；确定中是否存在环路故障；确定对端主机是否存在故障。确定网络中的 TCP 通信是否正常；确定网络中是否有主机感染病毒；确定网络中存在端口扫描攻击或用户名密码破解攻击；确定网络中的邮件发送是否正常；确定网络中的 SMTP 服务器工作是否正常；确定网络中是否存在感染蠕虫病毒的主机；网络中是否存在破解邮箱用户名密码的情况。确定网络中的邮件接收是否正常；邮件的

39、 POP3 服务器是否正常工作；网络中是否存在破解邮箱用户名密码的情况。统计上传下载的数据；确定网络中 FTP 服务器的数据是否被未被允许的上传下载；确定网络中是否存在确解 FTP 账户的用户名密码情况。对网络中的网页浏览进行统计；确定网络中是否存在使用HTTP 代理的程序，如 QQ 、 MSN 等 P2P 软件。数据分析利用确定网络中是否广播 / 组播风暴；帮助排查网络速度慢故障；成都科来软件有限公司电话：mail ： sales传真：upport15/18科来网络分析系统 5.0 使用介绍发送流量最大的主机帮助排查网络时断时续故障；接收流量最大的主机帮助查找用户无法上网故障；收发数据包数最多的主机帮助查找蠕虫病毒攻击；发送数据包最多的主机帮助查找 DOS 攻击；接收数据包最多的主机内部流量广播流量最大的主机协议视图主要数据区数据内容数据分析利用占用的流量查看网络中各协议的流量占用及百分比