科来网络分析系统使用技巧之绝对时间、相对时间、时间差
科来网络分析系统对网络中的数据包进行实时的采集,采集的时间精确到了微秒级,这样可以捕获到更精确的数据包便于诊断和分析,我们可以通过了解数据包发送时间的变化从而知道该数据包的发送频率,这对于某些故障的分析是很有帮助的。
在科来网络分析系统的数据包解码视图中,上部分区域逐行显示的是捕获数据包的概要解码信息,下图则显示的是对数据包的详细解码,如图1所示:
(图1 数据包视图)
在图1中,我们可以看到,在数据包的概要信息显示中,默认定义了编号、绝对时间、源地址、目标地址、协议以及大小等数据列,从这些数据列中,我们大概可以知道该数据包的一些信息,如数据包的发送时间,源地址,目标地址以及使用的协议等。但是,如果我们想要知道更详细的信息,如该数据包的发送频率,从当前视图的绝对时间列中,显示得不是很直观,这时,我们就可以通过相对时间以及时间差来查看。那么什么是绝对时间、相对时间、时间差以及怎样进行设置呢?我们接着往下看。
绝对时间:表示了当前该数据包发送时的时间;相对时间:表示了该数据包发送时相对前一个数据包所用的时间;时间差:表示了发送前后两个数据包的时间间隔;所有的时间都是精确到了微秒级。由于系统默认只显示了绝对时间,并没有显示相对时间和时间差这两个数据列,如果想要在数据包概要信息中显示这两项,那么可以在概要信息的数据列上单击右键,选择相对时间和时间差这两项,这时,在数据包概要信息中就会实时的显示这两个数据列。如图2所示:
(图2 设置相对时间及时间差)
通过图2的设置,在数据包概要信息的数据列中,就会显示出时间差和相对时间,如图3所示:
(图3显示相对时间及时间差)
从该图中,就可以分析出发送该数据包的时间,发送的时间差(即发送频率)等,从而让我们对网络中发送数据包的情况了如指掌。除此,还有一个值得关注的地方,如果我们要从数据包的概要信息中选择某一个数据包为参照来查看其他数据包的发送情况的话,我们可以通过设置相对数据包来进行分析,在数据包概要信息中,单击右键,则会弹出图4的对话框(我们这里只截取了对话框的一部分):
(图4 设置相对数据包)
选择“设置相对数据包”选项,那么,数据包的概要信息显示则会如图5所示:
(图5 设置相对数据包的显示视图)
从图5可以看出,我们选择了将编号为4116006的数据包设置为相对数据包后,该数据包的相对时间就会变为0.000000,而其他数据包的相对时间就会以该数据包的相对时间为参照而自动调整,这对我们在分析数据包的发送时间时提供了非常直观的数据。
最后,我们以查看ARP 响应数据包的发送频率来进行详细的分析,见图6。
(图6 ARP发送频率分析)
从图6我们可以看出,该ARP响应数据包在15:17:23:683854这个时间开始发送,在相隔了0.001361秒的时间发送第二个,而在0.000494秒之后发送第三个......,如此短的时间对不同的目标地址都在发送ARP响应数据包,对此,我们就可以初步的判断出发这个数据包的源地址可能在进行ARP欺骗攻击。
所以,通过查看发送数据包的绝对时间、时间差以及相对时间,我们可以很直观的分析出该数据包的发送频率,从而对相关故障的分析起到了很关键的作用。
[ 本帖最后由 超级版主 于 2007-11-23 14:54 编辑 ] |
发表于 2007-11-23 14:36:43
发表于 2016-4-13 15:21:23
