11 科来软件新手指南.docx
- 文档编号:5799781
- 上传时间:2023-01-01
- 格式:DOCX
- 页数:14
- 大小:1.53MB
11 科来软件新手指南.docx
《11 科来软件新手指南.docx》由会员分享,可在线阅读,更多相关《11 科来软件新手指南.docx(14页珍藏版)》请在冰豆网上搜索。
11科来软件新手指南
科来软件新手心得
大家好,今天我来讲解一下经过在科来5天的网络分析师培训的心得。
在未接触网络分析这个领域的时候,笔者对科来以及类似的分析软件的了解程度很少,虽然拥有一定的网络知识,但是对于如何去运用这些知识来判断网络的健康程度,在什么地方需要改进,以及及时排除故障等都有一些找不着北的感觉。
但是通过在科来5天的培训,使得笔者对于这方面有了不少的进步,拥有了对网络分析的大概印象、轮廓,知道该在那些方面运用曾经所学的知识。
那么下面进入正题,和大家分享一下我的心得。
1、导入数据包
在这里,由于实验需求,笔者不选择实时分析,而进行回放分析,其实在这里很容易就会产生新手的第一个错误,那就是在设置网络档案时,没有考虑全双工的问题,比如全双工100M的带宽,应当设置为200M。
这对于后面的分析来说也是很重要的,关系到利用率等的计算误差。
2、我的图表
在点击开始之后,我们进入到分析的主界面,首先就是“我的图表”。
默认情况下,有总流量,TOPIP流量,TOP协议这三个图表,在这里笔者推荐添加一个利用率的图标。
在回放分析中,由于采用的刷新时间不同,导致出现的图表可能会不完整,这时候,就需要右键将刷新时间调整一下,以获得完整的图表。
利用率:
在这里,第一次出现了“时间”的概念,对于网络分析来说,时间这个参数,是最重要的参数之一,所有的网络行为都要基于时间来判断是否存在异常。
同时,利用率也是一个重要的参数。
通过利用率,我们可以分析网络的繁忙程度。
利用率高是引起网络丢包的和延迟的最直接原因。
通常来说,科来推荐利用率不超过15%。
当利用率达到30%或以上,那么该网络存在相当严重的丢包现象了,我们就需要进一步通过协议分析以及TOP分析来定位相关的问题。
3、概要
在概要中可以看出许多问题的征兆,对于快速定位是何种类型的问题有着极大的帮助。
除了警报统计,安全分析统计(安全分析特有),诊断统计等可以一目了然知道是何种问题的统计以外,笔者还向大家推荐关注以下统计参数:
(1)数据包大小分布
通常来说,大包和小包的数量分布应该接近,小包的数量可能会更多一些。
如果小包数量过多,可能存在有ARP攻击,DOS攻击等安全问题。
如果大包数量过多,则可以推断为可能存在P2P行为。
(2)地址统计
物理地址数和IP地址数基本相当。
如果存在IP地址数远大于物理地址数的情况,则可能存在ARP欺骗、攻击等行为。
(3)数据流统计
通常来说,TCP会话应当大于UDP会话数量。
这取决于更多的协议采用TCP传输,并且UDP会话数量过多,可能是网络中存在P2P行为。
(4)TCP统计
很明显,TCP同步发送与TCP同步确认发送的数量应该相当。
众所周知,黑客攻击中就有SYNFLOOD攻击,不断发送同步包(SYN)造成拒绝服务。
所以如果当TCP同步发送数量明显大于TCP同步确认发送数量,那么可以推断网络中存在DOS攻击。
(5)DNS分析
DNS查询,DNS回应应该基本相当。
DNS查询即使无法找到地址,也会有相应的回包给客户端。
如果存在查询远大于回应的情况,则可以推断可能存在DNS攻击。
在察觉异常之后,可以进行TOP分析(通常由少数人产生多数数据为不正常,可着重分析该主机)。
比如上图中192.168.0.6以及0.14、0.8这三台主机,占用了大多数的网络资源,在此可以将其列为怀疑目标,结合前面的概要分析以及后面的分析来推断究竟是什么问题。
4、诊断与安全分析
在诊断与安全分析中,可以非常直观地看到,到底是哪些主机存在着什么样的问题,发生的次数,与其通信的主机等等信息。
结合诊断与完全分析,可以推断哪些主机存在ARP病毒、蠕虫病毒等。
在此,笔者导入了一个典型的ARP攻击的数据包,利用疑似ARP攻击分析来进行分析,以供大家参考。
可以看到下图,诊断中得出的结论和疑似ARP攻击分析得出的结论是相同的。
但是由于设定的标准是可以自定的,所以笔者推荐结合诊断与安全分析来进行相关的操作。
5、协议分析
协议这部分可以说是分析的重点了,任何的通信都会有协议的支持,所有问题的蛛丝马迹都可以通过协议分析来寻觅。
在此笔者向大家推荐一本书《TCP/IP详解卷一:
协议》。
详细的讲解都可以在这本书内找到。
笔者在这里就不多啰嗦了,仅用一个简单的演示来说明。
在上图中我们可以看到SessionService和MSSQL这两个协议占用的资源比较多,笔者在这里对SessionService进行分析来作为演示。
我们通过分析其中的IP端点,发现
0.6与0.8两台主机的流量比较大,这与之前的TOP分析的结果一致,那么我们来看看这两台主机究竟在做什么。
首先我们定位到0.6这台主机(定位到节点浏览器)。
并按照流量来排序,发现
0.8的流量都是来自0.6。
查看TCP会话
发现0.6利用139端口在进行传输。
那么139端口是提供什么服务呢?
回答是:
“139NetBIOS FileandPrintSharing通过这个端口进入的连接试图获得NetBIOS/SMB服务。
这个协议被用于Windows"文件和打印机共享"和SAMBA。
在Internet上共享自己的硬盘是可能是最常见的问题。
”那么就可以推断出0.8这台主机在下载0.6这台主机共享的文件。
6、会话分析以及数据包分析
会话分析包括了前面所讲的TCP会话之外,还有IP会话,UDP会话分析。
我们在会话分析中可以看到主机通信对以及他们之间的流量等等。
对分析P2P、蠕虫病毒提供了直接有效的证据。
P2P的特征:
大量发,大量收,使用随机端口,甚至采用UDP端口进行传输。
在对其他主机试图进行连接的时候,也会出现大量发,少量收的情况。
蠕虫的特征:
与大量主机建立连接,每个会话流量很小,大量发,少量收或者没有响应、被拒绝。
大多发出的都是TCPSYN包。
当然,在会话分析中,不止对异常分析提供了证据,对故障分析(网络层,应用层分析)也提供了直接有效的证据。
若是网络层面没有时延,没有丢包,那么说明网络层没有问题,那么时延和丢包应该如何分析呢?
(1)TCP三次握手分析时延
在这里,笔者向大家演示如何计算网络时延,以下是对某台主机浏览网页时候的抓包,前三个即为三次握手包:
可以看到,相对时间的0.002218秒即为当时的网络时延。
(2)TCP重传分析丢包
TCP协议的特点之一就是保障数据传输的可靠性,即确保数据能够正确完整传输。
那么TCP究竟是如何来保障的?
可以看到,TCP在传输时,有着传输确认—重传机制,即发送数据一方在传输数据时为每一个分段编制序列号(SequenceNumber),接收方会向发送方发送接收到分段数据的确认(Acknowledgment),通过这种方式确认数据是否准确传送,在无法确认某分段数据被准确传送或确认某分段数据没有被准确传送时重新进行传输。
所以,在网络丢包发生的情况下,必定会有TCP数据包重传的出现。
分析重传,我们需要对数据包进行解码分析。
将解码字段设为序列号,通过对比序列号与确认号:
可以发现,其中确实存在着不少的重传,所以存在着丢包现象。
对于应用层的分析,主要就是网络时延与服务器性能的综合分析。
掌握了对网络时延的分析,就只有服务器性能需要考虑了。
7、日志
日志中可以看到很多详细的内容,甚至连邮件的发送方和接收方以及附件名称也能看到。
对于分析也有很多的帮助。
这里就留给读者自己去看了。
8、报表
对于各位读者来说,每种时间段的报表都是重要的参考依据,报表可以自定义,可以保存为PDF、WHT、HTML等多种格式。
那么,以上就为笔者对于科来软件的初步认识,至于以后的警报、过滤器、案例分析等,笔者也会尽量多多奉上,希望大家能够捧场,感谢大家抽空阅读!
时间是非常重要的参数,在分析的时候一定要将时间带入其中!
附录:
重要参数整理:
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 11 科来软件新手指南 软件 新手 指南