网络分析学习资料
对话框使用介绍
科来网络分析系统是一个集数据包采集、解码、分析、统计、日志、图表等多种功能为一体的网络检测分析工具,它具有流量检测、错误统计、协议分析、数据包解码、重现用户原始操作等功能。系统运行时将对网络通讯进行实时的采集-分析-输出操作,可有效反映网络通讯状况和网络结构,帮助网络管理人员快速定位网络故障点,解决网络故障,同时系统的数据包解码分析功能可以让最为狡猾的网络攻击、欺骗行为无处藏身,从而确保整个网络的安全。
对话框是科来网络分析系统中的一个重要组成部分,系统的很多功能及各种参数的更改都需要在对话框中设置,再传递给系统内部执行。现将系统中对话框的使用简单介绍如下:
“打开”对话框
“打开”对话框如图1所示,用于打开工程文件和数据包文件,通过此功能,我们可以在科来网络分析系统中打开由系统自己保存的工程文件、数据包文件以及其它网络分析软件生成的数据包文件。科来网络分析系统支持打开的类型有科来网络分析系统工程文件cscproj、科来网络分析系统数据包文件cpf、科来网络分析系统数据包文件cscpkt、科来网络分析系统原始数据包文件rawpkt、Sniffer Pro数据包文件cap、Etherpeek数据包文件pkt、 Libpcap数据包文件cap。
图1 打开对话框
“另存为”对话框
“另存为”对话框如图2所示,用于将当前的工程文件进行保存。通过该对话框,我们可以将当前工程文件以用户指定的文件名,保存在用户指定的位置。其中文件名默认为当前工程名,用户可更改,支持的保存类型为cscproj工程文件,保存位置用户可自由更改。
图2 另存为对话框
“另存为模板”对话框
“另存为模板”对话框如图3所示,用于将当前工程文件的设置保存为一个模板文件,模板文件将保存当前工程中的所有设置。当使用“选择模板新建”命令并选择模板文件打开新窗口时,此窗口的各项设置均与模板文件中的设置一致。在另存为模板对话框中,用户可以自定义保存位置和保存的模板名,模块文件默认类型为csctemp。
图3 另存为模板对话框
“选择模块新建”
“选择模板新建”对话框如图4所示,用于从模板文件打开新窗口。通过此功能,我们可以加载已保存的模板的设置,打开的新窗口的各项设置均与选择的模板文件的设置一致,目前支持的类型为科来网络分析系统自身模板文件csctemp。
图4 选择模板新建对话框
“打印”对话框
打印功能可以将系统中当前页的内容从打印机输出,“打印”对话框如图5所示,通过打印对话框,我们可以设置各种打印的各个参数。
图5 打印对话框
“打印设置”对话框
“打印设置”对话框如图6所示,与“打印”对话框一致,“打印设置”对话框主要用于设置打印的参数。
图6 打印设置对话框
“导入”对话框
“导入”对话框如图7所示,用于导入不同类型的数据包文件,通过此功能,我们可以将其它软件生成的数据包导入到科来网络分析系统中进行分析。科来网络分析系统支持导入的数据包类型有科来网络分析系统数据包文件cpf、科来网络分析系统数据包文件cscpkt、科来网络分析系统原始数据包文件rawpkt、Sniffer Pro数据包文件cap、Etherpeek数据包文件pkt、 Libpcap数据包文件cap。
图7 导入对话框
“导出”对话框
“导出”对话框如图8所示,用于将科来网络分析系统当前工程中的数据包导出为数据包文件。通过此功能,我们可以把科来网络分析系统捕获到的数据包让其它网络检测分析软件分析。科来网络分析系统支持导出的数据包类型有科来网络分析系统数据包文件cscpkt、科来网络分析系统原始数据包文件rawpkt、Sniffer Pro数据包文件cap、Etherpeek数据包文件pkt、 Libpcap数据包文件cap。
图8 导出对话框
工程设置
常规
工程设置下的常规对话框如图9所示,用户可在此更改工程的一些基本属性,包括工程的数据包缓存、缓存满时的工作状态、是否自动解析捕获到的IP地址的主机名、是否在开始捕获之前显示工程设置对话框。科来网络分析系统工作时,会首先对捕获到的数据包进行分析,然后将数据保存在缓存中,在项目保存时,将缓存中的数据保存到硬盘。所以缓存的大小及缓存满时的工程状态用户需根据自身网络情况进行合理设置,缓存的大小一般不大于可用物理内存的50%,数据包缓存时的工作状态有四种:丢弃最早的数据包(循环缓存)、丢弃新捕获的数据包、丢弃缓存内所有的数据包、停止捕捉数据包,系统默认使用第一种,即丢弃最早的数据包(循环缓存)的方式对数据包进行存储。
图9 工程设置-常规对话框
网络适配器
工程设置下的网络适配器如图10所示,主要用于选择当前工程的数据采集源和采集方式。科来网络分析系统支持对以太网卡、拨号网络和本地环回的数据采集,且支持多网卡方式,用户可以在图十所示的对话框中选择一个网卡或多个网卡进行数据捕获,选中网卡后,下边的分隔窗口中将显示当前选定网卡的信息。同时,系统可自动识别选定网卡的速度,并默认以该速度为依据计算网络的利用率,用户在使用时需根据网络实际情况对此值进行修改,如内网是100M以太网,连接Internet的带宽为1M,在计算内网的利用率时,此值为100M,而计算整个网络的上网利用率时则应将此值改为1M。
图10 工程设置-网络适配器对话
过滤器
工程设置下的过滤器窗口默认情况下如图11所示,主要用于定义当前工程使用的过滤器。对话框列表中每个过滤器的工作状态均可以是“接受、拒绝、不使用”三者之一,并可同时选择多个过滤器,且每个过滤器可使用不同的工作状态。
列表中的所有过滤器,包括系统默认和用户自定义添加的,都可对其进行编辑、删除等操作。系统同时支持过滤器的导入(导入过滤器文件cscflt、导入默认过滤器)导出(导出为过滤器文件cscflt)操作。
图11 工程设置-过滤器主窗口
使用过滤器的添加功能,用户可根据自定义添加符合某特定特征的过滤器,以捕获相应的网络通讯。单击添加后将打开“添加过滤器”窗口,默认为添加简单过滤器,如图12所示。在简单过滤器中,可以为添加的过滤器指定名字、注释、颜色、是否为默认过滤器、过滤的IP地址、物理地址、端口、协议,具体方法是选中某单项过滤器,再选择类型并输入相应的值即可。
图12 添加简单过滤器对话框
对于一些高级的应用,通过简单过滤器将会无法实现,如定义只捕获“TCP同步数据包”的过滤器或捕获数据中包含特定内容的过滤器。这时,我们可以通过系统提供的高级过滤器实现,在图11所示的添加过滤器窗口中单击“高级过滤器”选项卡,即可添加打开高级过滤器对话框,如图13所示。
添加高级过滤器窗口中,可以指定过滤器的名字、注释、颜色、是否为默认过滤器、过滤的IP地址、物理地址、端口、协议、数据包值、数据包大小、数据包模式匹配。通过合理使用高级过滤器,可以定义复杂的过滤器。
在高级过滤器中,添加的各个单项过滤器(如一个IP地址、一个端口、一个数据包大小、一个模式匹配)之间可使用“与”、“或”、“非”的关系,使用方法是如下:如果当前已定义一个IP地址单项过滤器,需要添加一个或关系的数据包大小单项过滤器,用鼠标选中定义的IP地址过滤器,再单击图13中的“或”下拉菜单,从中选择“数据包大小(S)”,并在弹出的窗口中设置好类型及值即可。
“与”各“非”下拉菜单中均包括“地址(A)、端口(P)、协议(O)、数据包值(V)、数据包大小(S)、数据包模式匹配(P)”,选中后将分别弹出对话框,如图14所示。
对某单项过滤器定义“非”关系,即表示接受与该值的相反值的数据包,选中“非”后,当前单项过滤器会变成红色。
另外,系统中还提供有“显示图标”和“显示详细内容”两个图标,用户可根据手动进行显示更改。
图13 添加高级过滤器对话框
图14 高级过滤器中的子项对话框
网络配置
工程设置下的网络配置主窗口如图15所示,用于用户根据网络实际情况自定义节点浏览器中的IP节点和物理节点。
网络配置中的节点类型有两种,物理节点(Physical Endpoints)和IP节点(IP Endpoints),在默认情况下,系统自动在两种类型下以子节点方式分别列出其常见的网络类型,用户可根据自身网络情况对其中的子节点进行添加删除修改等操作。
选中物理节点(Physical Endpoints)及其下面的子节点时,单击添加按钮,将会弹出图16所示的上面对话框,用户在此对话框中定义新添加组的名字,然后选中新添加的组,在图15所示对话框的下面输入框中即可定义当前新添加组的物理地址。
选中IP节点(IP Endpoints)及其下面的子节点时,单击添加按钮,将会弹出图16所示的下面对话框,用户在此对话框中定义新添加组的名字,然后选中新添加的组,在图15所示对话框的下面输入框中即可定义新添加组的IP地址。
(注:在选择位置为Physical Endpoints和IP Endpoints时,图15所示对话框的下面输入框为不可用状态,选中其中的子节点即可自动变为可输入状态。)
图15 工程设置-网络配置主窗口
图16 工程-网络配置下添加子节点
高级分析模块
工程设置下的高级分析模块窗口如图17所示,用于用户自定义对邮件、网页访问、FTP数据传输的捕获分析和日志显示。
系统在默认情况下会对网络中通信的邮件收发、网页访问、FTP数据传输进行捕获分析,用户可根据实际需要选择是否启用这些功能,以及过滤某些信息进行分析。在使用时,用户可选择是否启用某项功能,并在其下面对不同的参数进行选择,当设置保存后,系统将会按照用户的设置进行分析和显示日志信息。如当用户只希望分析test1@colasoft.com的邮箱进行的邮件接收操作,可选择“过滤器设置(接受)”下的“启用过滤器”为是,再在“接收地址”右边的输入框内输入test1@colasoft.com,单击确定保存即可。
网页访问和HTTP数据传输的设置与邮件分析的设置方法相同。
(注:邮件分析模块、FTP分析模块、HTTP分析模块中的过滤器里的条件均有AND关系。)
图17 工程设置-高级分析模块主窗口
“网络监控”对话框
网络监控主窗口如图18所示,用于监控网络中用户的通讯情况,并具备对指定机器进行控制的功能。默认时系统并未打开对网络中主机的监视控制功能。
图18 网络监控主窗口
默认情况下系统将根据监控网卡绑定的IP地址网段,用户可根据实际需要对此值进行修改。单击图18窗口中工具栏上的“监控设置”按钮,打开图19所示的对话框。在图19的对话框中,系统将会自动检测当前网卡绑定的IP地址并将其列出监控范围列表框中,用户可在此进行“添加、删除、编辑”等操作。单击添加后,将会弹出图20所示的对话框,在此对话框中,用户根据网络实际情况进行各种值的选择及输入。
图19 网络监控-监控设置对话框
图20 网络监控-监控配置-添加监控范围对话框
当对选中的机器执行“控制”命令时,将会弹出如图21所示的控制类型选择框,从图中可以知道,控制的类型以四种,用户可根据实际需要选择相应的类型实现对选定主机的控制操作。
注:控制类型为单选,同一台主机只能同时选择一种控制类型。
图21 网络监控-控制类型窗口
“数据采集驱动”对话框
数据采集驱动对话框如图22所示,用于显示当前主机上安装的数据采集驱动信息。科来网络分析系统支持三种数据采集驱动:协议层驱动(Colasoft NDIS Protocol Dirver,用于捕获以太网卡的数据通讯)、中间层驱动(Colasoft NDIS Intermediate Dirver,用于捕获拨号网络的数据通讯)、本地回环驱动(Colasoft TDI Dirver,用于捕获本地回环的数据通讯)。默认情况下系统只会安装协议层驱动并使用协议层驱动对网络中的数据包进行捕获,用户可根据实际需要安装相应的数据采集驱动并使用该驱动捕获数据通讯。安装方法,在图22所示对话框的驱动下拉列表中选择相应驱动后,单击安装即可,根据提示操作即可,对于已安装好的驱动,安装按钮将置于不可用状态。
图22 数据采集驱动对话框
选项
常规
选项-常规对话框主窗口如图23所示,用于显示当前工程中的一些参数信息,系统推荐使用默认配置,但用户也可根据网络的通讯情况对这些参数进行修改。
图23 选项-常规对话框
解码器
选项-常规对话框主窗口如图24所示,用于显示科来网络分析系统支持解码器及解码器当前的使用状态。默认情况下系统将启用全部的解码器,可户可根据实际需要屏蔽掉指定的解码器,屏蔽的方法是将指定解码器前面的勾取消掉即可,屏蔽相应解码器后,数据包解码中对应的协议处将会显示为“Disable”,打开即可显示相应协议的解码信息。
图24 选项-解码器对话框