三,强大的统计与过滤功能:
科来分析系统有强大的统计与过滤功能,之前我用过的sniffer也具备这些功能,不过个人感觉科来分析系统在操作上更灵活毕竟是中文界面而且很多地方设计更符合国情。
第一步:平时我们在监控时可以通过查看右边的“图表”标签来了解当前环境下网络利用率,错误包的比例,广播组播包的比例等,这些图表对分析网络,测算网络是否有病毒或规划问题都是很有帮助的,我们可以了解到当前总带宽大小是否超负荷运转。(如图11)
图11:
第二步:另外通过主界面上方的过滤按钮我们可以针对某一种协议进行监听,不符合该协议的数据包将直接丢弃。可选择的协议可以自定义也可以直接使用默认的。(如图12)
图12:
第三步:例如笔者为了检测网络内ARP数据包来判断是否有ARP欺骗病毒,只需要将ARP协议添加到过滤表中,然后确定即可,这样科来分析系统会对接收到的所有数据包进行分析,符合ARP协议的收集并显示出来,不符合的直接丢弃。(如图13)
图13:
第四步:再次开始监控,我们会发现找到的数据包都是ARP协议的,这样可以更加方便的让我们根据实际需要去监听网络协议。(如图14)
图14:
第五步:同时科来分析系统为我们提供了大量宝贵的报表,我们可以根据实际监听结果直接分析出流量最大的前十IP等排行。(如图15)
图15:
第六步:日常我们这些网络管理员都会被ARP欺骗病毒所烦恼,科来分析系统特别对ARP数据包进行了概要解析,我们可以直接从概要处看到每个数据包实际的功能,非常直观。(如图16)
图16:
第七步:同时利用“矩阵”功能也可以让我们了解到当前网络内各个IP地址与内外网各个终端设备的通讯状况,这个IP矩阵或MAC地址矩阵可以让我们看出哪个地址流量最大,连接数最多,这些地址将成为病毒携带者的最可能人选。(如图17)
图17: