[原创]对比科来网络分析系统与Sniffer Pro之矩阵功能

KelvinFu · 发表于 2006-9-26 14:55:37

对比科来网络分析系统与Sniffer Pro之矩阵功能

PDF下载：

矩阵功能是网络分析的一个亮点。在矩阵图中，我们可以快速直观地了解到网络中的节点及节点间的会话信息。通过矩阵图，还可以快速提示网络中的通讯情况，从而让某些恶意通讯情况无处藏身。如网络有人在使用BT，P2P下载软件等，矩阵图就会呈现出一个发散状的图形。
由于工作原因，经常需要使用网络分析软件，在接触过几个网络软件后，对各个软件的矩阵功能也有一些认识，总体来讲矩阵图在各个软件中的表现形式都大同小异，不同软件中有一些各自特有的功能。由于我比较喜欢用科来网络分析系统和Sniffer Pro这两个软件，于是就想对这两个软件的矩阵图时做的一个对比，好让刚接触这两个软件的人能对它们有清晰地认识，以免走弯路。下面我们就来看科来网络分析系统和Sniffer Pro各自矩阵图的魅力吧！ Let’s go!

1.  拖动节点及高亮显示

科来网络分析系统中的矩阵图允许用户用鼠标拖动节点到任意位置，并且在鼠标移动到节点上时，会自动显示出该节点的通讯情况，且以红色（默认）高亮显示该节点及其通讯节点和它们之间的会话信息。我们还看见矩阵图中还有其它颜色的，在科来网络网络分析系统中提供了多种颜色表示不同状态，比如系统绿色（默认）表示当前节点或者会话正在活动等，这些颜色是可以通过矩阵选项中进行设置的。这样我们就能非常清楚的知道该节点的通讯情况。

在Sniffer Pro中，矩阵视图不支持鼠标拖动节点，而且选择节点，也没有什么特别的提示和变化，让我有点苦恼，特别是有大量节点的时候，看着有点眼花。在色彩上和科来的有一定的区别，Sniffer Pro矩阵图主要只体现在协议的颜色上，它会对捕获数据中出现的协议随机赋予一种颜色。

下面我们使用两种软件同时捕获相同的数据。

科来网络分析系统矩阵视图，如图1。
（图1  科来拖动节点及高亮显示）

再来看Sniffer Pro的矩阵视图，如图2所示。
（图2 Sniffer 矩阵图）

图1和图2分别为科来网络分析系统和Sniffer Pro捕获了相同数据包时，选择一个相同的节点时的矩阵图。呵呵，图1中很快就能了解到该节点的会话信息。

2.  显示过滤

显示过滤可以让用户在分析网络时，排除一些干扰信息，过滤出想看的内容。在科来网络分析系统中，可以有矩阵类型（MAC和IP）、流量类型（单播、广播和多播）、协议、IP节点、物理节点和显示选项来进行显示过滤。

在Sniffer Pro矩阵图里面，只能选择矩阵类型（MAC和IP）和选择协议进行显示过滤，在图2中可以看到。

特别在显示选项中，科来给了用户很多的选择。因为在Sniffer Pro中，我们只能看TOP10的信息，没有给用户更多的选择！但是在科来的显示选项的自定义，大家可以自己去实际操作下。如图3。
（图3 科来网络分析系统矩阵图显示选项）

左边为增加自定义显示内容的设置窗口，右边为增加显示内容后的显示选项。用户自定义显示内容，增加了灵活性。

3.  隐藏节点

在矩阵图中，我们除了通过显示过滤来排除一些显示信息外，还可以手动隐藏一些节点。

在Sniffer Pro中，用户可以选择“查看选择的一个或多个节点”的相关信息，或者“隐藏所选择的一个或多节点”的相关信息。

而在科来网络分析系统中，用户可以“隐藏所选择的节点”、“该节点和其对等节点”、“不是该节点的对等节点”。而且用户手动隐藏的节点，都在矩阵视图左下角“用户隐藏的节点”中，我们也可以从里面还原出一个或多个节点！

两种软件还是有小小的区别，个人觉得，科来在该功能上要强大一些，因为在科来网络分析系统中可以通过节点浏览器或者右键定位某个节点，就可以满足到Sniffer Pro的效果。

4.  矩阵选项

说到矩阵选项功能，Sniffer Pro只能在监控视图进行一些选项设置，但是对抓包的矩阵视图没作用，而且Sniffer Pro在抓取数据包后的矩阵图中是没有矩阵选项的！如果超出了规定的最大的节点显示，则overflow了，似乎Sniffer Pro显示的最大节点数也不是很大。从图1和图2中，可以看出1321个节点，Sniffer Pro很快就overflow了。
而在科来网络分析系统中，我们可以自定义椭圆边界，最大显示节点数（100-10000个），各种节点状态颜色设置等，默认选项设置如下图4。
（图4  矩阵选项）

在科来网络分析系统中，如果超出选项设置中显示的最大节点数，则多余的节点将会显示在左下角的“未被显示节点”窗口中，我们可以了解到当前网络中有多少节点，而Sniffer Pro则显示为overflow。

呵呵，差不多了，我在这里并不是说Sniffer Pro不好，至于它的强大，我想大家都应该知道的吧!

俺因水平有限，只是发表自己在不同软件的使用上，对一些细小功能及易用性的一些看法和体会，如果有什么说的不正确的地方，麻烦大家指正。

                                                                                                                                                      CSNA网络分析论坛
                                    KelvinFu
                                          2006-9-26

[ 本帖最后由 KelvinFu 于 2006-9-26 15:05 编辑 ]

天蓝 · 发表于 2006-9-26 17:49:52

Sniffer Pro 的矩阵，还可以使用矩阵过滤器，过滤一些协议或不必要的IP，但与科来网络分析系统的矩阵使用比起来，就要麻烦很多。

我们先看一下对协议的过滤，科来网络分析系统是有多方便。

首先第一个图，是一个全局的矩阵图。如下：

天蓝 · 发表于 2006-9-26 17:54:12

如果你要查看某个协议的矩阵，可以在左边的节点浏览器里，选择相应的协议，就可以了。
例如，我们要查看哪些使用了QQ，HTTP，或是我们经常用到了，哪些使用了ARP，因为查ARP攻击的时候，看这个也是非常方便的。但大家选择ARP的时候，要记得，把矩阵类型选择为物理。
过程：协议 > ARP > 矩阵类型 > 物理
如下图所示

天蓝 · 发表于 2006-9-26 17:57:33

刚刚 LZ也提到了隐藏功能，我这里也截一张图给大家看看，因为这个非常方便，也很有必要。
有时候网络主机多了，矩阵会看起来非常复杂，连接线非常多。那我们可以把一些不必要的连线给隐藏。
操作方法如下图：

无影战士 · 发表于 2006-9-26 18:10:29

楼上说得巴错，偶也来好好学习一下．

haiwanxue · 发表于 2006-9-26 18:21:02

LZ使用过Infinistream吗?

wwwang · 发表于 2006-9-26 18:31:52

科来矩阵的功能是偶的最爱!一目了然,非常醒目!强烈推荐使用!

KelvinFu · 发表于 2006-9-27 09:26:00

原帖由 haiwanxue 于 2006-9-26 18:21 发表
LZ使用过Infinistream吗?

没用过呢，好像是和硬件设备集成了的吧。使用有点复杂，价格也比较贵！

[ 本帖最后由 KelvinFu 于 2006-9-27 10:05 编辑 ]

天蓝 · 发表于 2006-9-27 10:07:11

原帖由 haiwanxue 于 2006-9-26 18:21 发表
LZ使用过Infinistream吗?

很少人能用到Infinistream，而且Sniffer 把产品分成了很多部份，Infinistream只不过是sniffer的其中一部份，如果要用，你还得要有一个console的东西。据NG公司的介绍，Infinistream也只是一个负责采集，而分析功能非常少的东西。

CCSP · 发表于 2006-10-9 09:30:08

其实两种软件各有各的优势！
看了LZ的帖子，对矩阵图的了解更加深刻了些，
目前偶偏好于科来网络分析系统，简单明了，而且贴切的功能也很多！

[ 本帖最后由 CCSP 于 2006-10-9 09:32 编辑 ]

红盟过客 · 发表于 2006-10-9 19:37:06

科来矩阵的功能是偶的最爱!一目了然,非常醒目!强烈推荐使用!

逍遥 · 发表于 2006-10-10 11:16:10

看上去还挺好的

比较清晰一幕了然

sesco · 发表于 2006-11-17 11:29:33

科来的确实比较清晰，让人一目了然。

sxp3468 · 发表于 2006-11-18 09:53:58

正在学习……

子牛 · 发表于 2006-11-18 14:50:19

又学了一招
谢谢LZ!

wugenfa · 发表于 2006-12-4 10:11:46

其实了，
你想学英语给你了最好的机会。在技术中去学习是最好的，我教了很多的学习，去可以说在学技术中学英语是最好的方法！！

kyokof · 发表于 2006-12-4 10:13:20

应该说科来很符合中国人的习惯

boloveqin · 发表于 2007-3-3 13:41:48

学习

蓝色心境 · 发表于 2007-3-8 13:30:56

很不错！
这个真的不太会看呢！

孩子她娘 · 发表于 2007-3-23 17:05:38

这个真的不太会看呢！

playerwhj · 发表于 2007-3-26 16:49:40

我是两个都在用,用sniffer学些英文!!

wsw111 · 发表于 2007-3-30 13:18:29

比较详细，对矩阵图的了解更加深刻了，收藏了

hopehands · 发表于 2007-4-19 00:27:21

看了比较的确实好。。支持

hz123 · 发表于 2007-5-4 16:06:22

偶也非常喜欢这个功能呢野味很清楚

roasterduck · 发表于 2008-12-19 21:39:41

还是科来的矩阵比较厉害啊

clj888 · 发表于 2009-3-14 09:21:45

我来看一看了

qianshengxin · 发表于 2009-6-22 12:17:16

谢谢分享，支持支持！辛苦了！学习一下！

xueyufeihu2000 · 发表于 2009-11-11 12:50:32

ddddddddddddddddddddddddddddddddddddd

weini · 发表于 2010-3-23 10:54:29

你用的是科来哪个版本的，支持多少个节点的。

mzwsunny · 发表于 2010-3-23 11:21:33

在目前的网络分析行业来看,不仅仅需要一个得心应手的软件那么简单,如果只是在故障产生后通过软件进行capture再decode查看问题,可能已经对业务产生了很长时间的影响,同时对于故障产生时的数据包已经不可能看到了,所以这种解决问题的思路不适应对于应用保障要求高的环境中,比如说金融行业,所以我们就需要通过多个角度来部署不同的设备来达到监测,预警,排故的效果,你的capture设备是否存在存储数据包的功能,你的分析软件是否可以智能的分析出延时产生的位置,是服务器,网络,还是客户端,你的监控软件是否可以对异常流量进行预警,你的排故软件是否可以把你在网络中部署的所有probe整合在一起.只有这样才可以在出现问题的时候第一时间的发现和快速的解决,至于是什么牌子的设备其实不重要,什么科来,netsouct,opnet等等,只不过是个工具,而真正核心的还是技术本身.可能我说的并不正确,完全是自己的看法,希望能够在这样的论坛中和分析行业的高手进行交流和学习

[原创]对比科来网络分析系统与Sniffer Pro之矩阵功能

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源