如何使用科来进行网络流量分析？

lbzxy

最近，学习了一些网络分析方面的知识，刚用了一段时间的科来网络分析系统进行抓包学习，觉得这是一款非常不错的网络分析产品。这是我在使用后，对网络流量分析的一点心得，特拿来与大家分享，希望网络分析的专家们（特别是使用科来的朋友）能不吝赐教。下面，我们来讨论一下如何利用科来网络分析系统对网络的流量进行分析，希望可以对像我一样的新手有所启发。
我们所说的流量通常指的是某一节点对网络总带宽的占用比例，通过对流量的分析，我们就可以对网络的总流量、某个IP组或某个IP地址以及MAC地址进行定点的流量分析，以确定网络带宽是否被正常占用，为网络性能的分析提供可靠的依据。
我们打开一个数据包文件，先通过概要统计视图（图1）的网络流量数据区对网络的总流量有一个详细的了解，包括总共流量、收发的数据包、利用率以及广播流量、组播流量等数据，通过这些数据，可以对网络的流量有一个总体的认识。


（图1 概要统计视图）

    如果要查看详细的流量情况，可以通过端点视图进行详细的查看（图2）。在端点视图的IP类型的显示中，可以非常清楚的看到每一个IP端点的详细的流量情况，包括总流量、发送流量以及接收流量、发送数据包以及接收数据包、网络连接等数据，可以对总流量或网络连接情况按大小进行排序，通过分析这些数据，就可以了解到每个端点占用的流量情况。如图2中显示的192.168.1.222、192.168.1.91、192.168.1.72、192.168.1.23这几个端点的流量都比较大，如果都是一些普通的PC用机并且又占用了这么大的流量，那么，就可以对其进行单独的具体分析，看其是否在进行BT下载或FTP等占用了带宽。同时，通过流量分析对网络故障的排查也起到了非常好的参考作用。


(图2 端点视图)

   以上查看的是全网的总流量以及单个IP地址的流量，同时，也可以查看某个IP组的流量情况，只需在节点浏览器的按IP端点浏览的子选项下选择相应的IP组，右边的视图区就会显示对应的IP组的数据情况，这里就一一不再举例。除了分析相应的主机的流量之外，科来网络分析系统还提供了对协议所占用流量的分析，在协议视图区（图3）可以详细的看到网络中所使用的协议以及每个协议所占用的流量、发送数据包、接收数据包等数据。


（图3 协议的流量分析）

从图3可以看出，科来网络分析系统对网络中所使用的协议已经层级的显示出来，并且对每一种协议的流量、流量的百分比以及网络连接等数据都提供了详细的统计数据，通过对协议所占用的流量可以分析出，网络中的协议所占用的流量是否正常，如ARP Request 以及ARP Response，正常情况下，他们的所占用的流量应该大致相等，而这里显示的却是请求的流量远远多于响应的流量，说明网络中可能存在ARP的扫描等故障。
除了对端点以及协议的流量进行分析，还可以通过查看图表中的利用率来了解流量占用情况，如图4所示：


（图4  利用率图表）

在利用率图表中可以看出，带宽的占用最多时达到了3.2Mbps，从这里也就直观的反应了网络带宽的实时占用情况。
综上所述，对网络的流量分析不仅可以知道当前网络中各主机的实时运行状况，也可以对网络中使用的协议以及协议的相关数据进行分析，从而对网络故障的排查，对提高网络的性能都能起到非常关键的作用。

[ 本帖最后由 lbzxy 于 2007-11-2 16:58 编辑 ]

天蓝

嗯，的确不错

cnkk

好东西，谢谢，学习了。

快乐3幸福4

楼主的第二个图上，也就是看流量的那个图中，既有私网地址，又有公网地址，这样感觉不是太方便啊。
可以只查看私网地址吗？

lbzxy

首先谢谢楼主能看得这么仔细。这的确是个失误，由于我们只是对内网的流量进行分析，所以，我应该选择按IP端点浏览的“本地子网”来查看流量，由于我选择了整个IP端点，所以出现了公网地址。
让我们用好科来网络分析系统，一起进步！

oldhen

如果出口带宽是5M，而内部网络是100M的话，那么所谓的带宽利用率是指哪一个带宽呢？

glyexx

可以看私有的，在左边的浏览里选择 [本地子网]同理可看其它

阿刁

厉害厉害，学学...................

网络新人

我们出口是4M，但按本地子网IP，表上显示在26M，这是为什么？

q52100612

wqeqeqweqweqwe

xiadao_81

学习了！受用！怎么沉下去了呢？

xyzl7477

看了......................................

muzinan110

dddddddddddddddddddddddddddddddddddddddddddddddddd

guoshibing007

13# muzinan110 好东西  看看