科来网络分析系统学习成长日志－第二天(图文）

liuheliuxi · 发表于 2008-1-29 10:58:39

学习科来网络分析系统成长日志

作者：始皇帝_嬴政
邮箱：liuheliuxi@163.com

第二天用Sniffer配合科来系统

经过昨天的学习，我基本了解科来系统的安装的使用，感觉和世界上著名的网络分析系统Sniffer功能很接近。Sniffer我曾经使用过，由于没有官方的简体中文版本，使用起来非常麻烦，虽然有汉化版本，但是很多地方也没有汉化到。虽然Sniffer算是世界上最强大的网络分析系统，不过使用起来太过麻烦，很难自学，而培训费用则是天价，我一直没有能深入学习。论坛上面逛了一下，发现科来居然可以打开Sniffer的数据包。我灵机一动，科来交流版本只能打开50个节点，Sniffer网上很多破解版却可以完全使用，如果我用Sniffer监控网络，保存的文件用科来来分析不是就可以解决我的问题了吗？想到就行动，立刻上网下载了一个Sniffer，安装后监控网络一段时间，保存下来的数据包居然真的能让科来系统打开，可惜还是只能打开50个节点。不过我已经很满意了，毕竟比只运行科来系统好了很多。

我在网上搜索所有的网络分析系统教程中，发现范伟导老师的Sniffer培训教程是说得最好的，我这里也使用了他很多的原话，希望他别追究我盗版就好，呵呵。

一、网络分析系统介绍

1、假设现在是下午4点，你正坐在书桌旁，桌上摊开了3本书。你正在努力工作着，试图找出过去8个小时中，你公司的文件服务器性能突然下降的原因。在你公司的200名用户中，有将近100人已经打电话到公司投诉，抱怨连接速度太慢，总是处于等待状态。你现在压力很大，因为今天公司的首席执行官（CEO）也打电话过来了。公司的主要文件服务器（NetWare 5服务器）在过去一年中一直运行得很顺利，没有出现过任何问题。你检查了系统控制器、CPU使用率和缓存，确定它们都在正常工作范围内。你甚至还更新并注册了查毒程序，然后运行，以确保没有病毒。你现在只得求助于所有你一年前收起来的参考书。你拂去书上的灰尘，开始了苦读，准备用整夜的时间来找出问题的所在。
如果能够很容易就找到问题所在就好了，就像打开台式机，运行一个应用程序来检查你的服务器与端口的连接。但是如果根据分析的结果，你发现可能是因为网卡太旧、设备震动或者错误操作所产生的问题，那么究竟是哪个影响了网络的连接呢？你甚至会惊讶地发现在你的内部网上，有些人“可能”正在向你的服务器发送“死亡之Ping”（Ping of Death），或者进行其他类型的拒绝式服务（Denial of Service，DoS）攻击。你怎样才能指出这些问题呢？非常简单，答案是——使用网络分析系统，这些就都可以实现了。

2、我们看一下，网络分析系统究竟有什么用？

第一，网络分析系统可以帮助我们评估业务运行状态，如果你能告诉老板说，我们的业务运行正常，性能良好，比起你跟老板报告说网络没有问题，我想老板会更愿意听前面的报告，但我们要做这样的报告，光说是不行的，必须有根据，我们能提供什么样的根据呢。比如各个应用的响应时间，一个操作需要的时间，应用带宽的消耗，应用的行为特征，应用性能的瓶颈等等。

第二，网络分析系统能够帮助我们评估网络的性能，比如，各连路的使用率，网络的性能的趋势，网络中哪一些应用消耗最多带宽，网络上哪一些用户消耗最多带宽，各分支机构流量状况，影响我们网络性能的主要因素，我们可否做一些相应的控制，等等

第三，网络分析系统帮助我们快速定位故障，我们还可以通过网络分析系统来学习各种协议。一般情况下，都会要求学Sniffer的学员有CCNP的基础，或者有几年的网络管理经验。不过如果学习科来网络分析系统则没有这么高的要求，可能培训班的老师会要求，不过我没有参加过培训，就不知道了，而且我也没有这些基础。我只是当了几年公司的网管，会一些基本的网络知识。

第四，网络分析可以帮助我们排除潜在的威胁，我们网络中有各种各样的应用，有一些是关键应用，有一些是OA，有一些是非业务应用，还有一些就是威胁，他不但对我们的业务没有帮助，还可能带来危害，比如病毒、木马、扫描等，网络分析系统可以快速地发现他们，并且发现攻击的来源，这就为我们做控制提供根据。另外要说明的事，网络分析系统还可以用来排除来自内部的威胁，现在我们网络中有各种各样的网络安全产品，防火墙、IDS、防病毒软件，他们都有相应的功能，但真的有效吗，能解决全部威胁吗，我们要进行评估，用网络分析系统就能评估内网的安全状况，有没有病毒，有没有攻击，有没有扫描，像防火墙、IDS、防病毒软件他们都是后知后觉的，它必须有特征才能阻绝，而网络分析系统是即时监控的工具，通过发现网络中的行为特征，判断网络是否有异常流量，所以网络分析系统可能比防病毒软件更快地发现病毒。
刚才讲到异常流量，这是一个很重要的概念，什么是异常流量？我们怎么判断是否异常，这又涉及另外一个概念，叫基准线分析，什么是基准线，基准线是指我们网络正常情况下的行为特征，包括利用率、应用响应时间、协议分布，各用户贷款消耗等，不同工程师会有不同基准线，因为他关心的内容不同，只有知道我们网络正常情况下的行为特征，我们才能判断什么是异常流量。

第五，做流量的趋势分析，通过长期监控，可以发现网络流量的发展趋势，为我们将来网络改造提供建议和依据

第六点就是应用性能预测，这点很有用，会用的人不多，网络分析系统能够根据捕获的流量分析一个应用的行为特征，比如，你现在有一个新的应用，还没有上线，我能评估他上线后的性能，比如在用户在网络中心有多快，用户在省中心有多快，用户在市中心有多快，都可以提供量化的预测，准确率挺高的，误差不超过10%。我们还可以用她来评估应用的瓶颈在哪，不同应用瓶颈不同，比如有些应用慢了，增加网络带宽效果很明显，比如FTP这种应用，有些应用慢了增加带宽没什么效果，比如TELNET应用，我们还可以预测网络带宽增加的效果，比如我将2兆提高到8兆应用性能有多大的提升，网络分析系统能比较准确地预测

二、上官方网站和论坛查看最新的教程

1、建议新用户先多逛逛科来网络分析系统官方论坛：http://www.csna.cn 任何人有问题都可以到这里寻求帮助，这个论坛的人都很热心，能力也比较高。

2、下载最新的教程http://www.csna.cn/attachment.php?aid=4194科来网络分析系统6.x入门教程（官方版）进行学习

3、下载视频教程进行学习

A、如何查找ARP攻击（ http://www.colasoft.com.cn/teaching/video_howtofindarp_001.html ）

B、如何找出内网中带宽占用最大IP(http://www.colasoft.com.cn/teaching/video_howtofindtop10triffic_001.html)

C、如何找出谁在使用BT下载文件(http://www.colasoft.com.cn/teaching/video_howtofindbt_001.html)

D、如何自动保存数据包文件(http://www.colasoft.com.cn/teaching/video_howtosavepakets_001.html)

E、如何记录员工最近90天上网记录(http://www.colasoft.com.cn/teaching/video_howtosaveweblog_001.html)

F、如何使用科来查找故障(http://www.colasoft.com.cn/teaching/video_howtofindtrouble_001.html)

G、如何查找感染蠕虫病毒的机器(http://www.colasoft.com.cn/teaching/video_howtofindwormvirus_001.html)

H、如何查看网络的利用率(http://www.colasoft.com.cn/teaching/video_howtoviewnetworkutilization_001.html)

I、如何过滤掉上网日志中的无用信息(http://www.colasoft.com.cn/teaching/video_howtosetfilttextlog_001.html)

J、如何设置网络配置(http://www.colasoft.com.cn/teaching/video_howtosetnetworkconfig_001.html)

三、整整一天，我安装好Sniffer后就一直使用它来采集数据，用科来系统来分析，并根据网上的各种教程来充实自己的知识。这一天很快就过去了，我感觉我学习了很多，但是也更加感觉到自己的不足，我需要回去慢慢想想，我还有哪些不足，列一个表出来，定下一个学习时间表，在以后的日子，逐渐的补充自己的知识。

*申请加精

[ 本帖最后由 liuheliuxi 于 2008-5-28 14:39 编辑 ]

lss104 · 发表于 2008-1-29 11:58:00

终于知道怎么能够检测到整个网络的数据了，太谢谢了。

从零开始 · 发表于 2008-1-29 15:13:45

谢谢楼主分享！

徐徐渐进 · 发表于 2008-1-29 17:04:41

支持，期待后续大作．

包包 · 发表于 2008-1-29 17:19:41

很有用哦~学习

冰山 · 发表于 2008-1-29 17:22:33

理解透彻，非常同意楼主的观点

sh-fluke · 发表于 2008-1-31 19:30:43

感谢楼主，能分享你的学习笔记。

raodazhuan · 发表于 2008-2-16 14:18:10

不错不错不错不错不错不错

cdzhen61885425 · 发表于 2008-2-19 17:04:12

好东西，谢楼主了

雨中散步 · 发表于 2008-2-19 17:37:50

谢谢了我知道怎么做了

瞎折腾郁 · 发表于 2008-2-22 16:03:54

是知道怎么做了,但是级别不够,用不了...

zhongmu · 发表于 2008-2-26 09:57:18

第一次回帖！

luotao251 · 发表于 2008-2-28 09:08:04

真是好貼啊! 向樓主學習!(有一個小問題:是范伟导老师)

[ 本帖最后由 luotao251 于 2008-2-28 09:14 编辑 ]

yuqian · 发表于 2008-3-4 14:51:13

太棒了，谢谢

天使一族 · 发表于 2008-3-5 23:12:51

内容不错啊！我支持你

398169780 · 发表于 2008-5-10 07:42:21

您没有启动邮件副本保存功能，因此不能在邮件日志视图中浏览邮件副本内容
我是个新手，这个系统打不开，这个是什么意思？

verycdbbs · 发表于 2008-5-21 11:49:28

写的相当不错,谢谢,

liuheliuxi · 发表于 2008-5-28 14:40:04

原帖由 luotao251 于 2008-2-28 09:08 发表
真是好貼啊! 向樓主學習!(有一個小問題:是范伟导老师)

非常感谢的你的提醒，我已经修改好了

yinchong · 发表于 2008-7-16 11:57:21

听君一席话胜读10年书

:lol

rx601 · 发表于 2008-8-5 13:01:22

学习的东西挺多的哈

xiaop413 · 发表于 2008-8-5 14:30:43

精彩，继续关注！！！！！！

jacky_cshy · 发表于 2008-8-27 14:02:38

谢谢了，入门要看了。

istudy · 发表于 2008-8-29 16:22:55

不错哦，我刚入门……学习

vennhey · 发表于 2008-9-5 13:31:22

谢谢楼主分享！

realddy123 · 发表于 2008-9-7 20:12:10

谢谢楼主无私奉献

csllff · 发表于 2008-9-11 16:33:27

谢谢楼主分享！!!!!

sc001 · 发表于 2008-9-18 22:43:54

谢谢楼主分享！

yizi712 · 发表于 2008-9-20 11:17:55

谢谢楼主分享~~！我又学到了新的知识~~

丢三落四 · 发表于 2008-9-28 13:01:18

又是一篇呢，全收藏下来。

lxy-小鱼儿 · 发表于 2008-9-28 14:50:13

太支持LZ了可惜我还太菜理解不了

科来网络分析系统学习成长日志－第二天(图文）

本帖子中包含更多资源

评分

新手上道