科来网络全流量安全分析系统[Study]

科来网络分析系统是一款便携式网络分析系统，支持有线和无线网络抓包分析，十分便于网管人员安装部署。帮助网管人员在各种网络问题中，快速准确的找到问题根源。它对网络中所有传输的数据包进行解码、检测、分析、诊断，帮助网管人员排除网络事故，规避安全风险，提高网络性能，增大网络可用性价值。

服务器管理器选项卡中具有以下功能：

• 记录控制台最近连接的服务器。
• 添加、删除、修改、连接和断开服务器。
• 配置网络链路。
• 进行网络链路的回溯分析和实时监控。
• 服务器管理器选项卡中出现的图标按钮，具体功能描述如下表所示。

图标按钮

具体描述

用于添加服务器组或服务器，一个服务器组中可以添加多个服务器。

用于删除服务器组或服务器，服务器只有在断开的状态下才能被删除。

用于配置网络链路，包括对捕捉过滤器、自定义应用、网段、名字表和警报进行配置。

数据包库管理器选项卡中具有以下功能：

• 记录最近进行回放分析的数据包。
• 进行数据包的回放分析。
• 数据包的添加和删除。
• 设置分析数据的保存路径。

数据包库管理器选项卡中出现的图标按钮，具体功能描述如下表所示。

图标按钮

具体描述

用于添加数据包库，一个数据包库中，可以添加多个数据包文件。

用于删除数据包库或单个数据包文件。

用于设置在进行数据包回放分析时，分析数据的存储路径。

分析区

分析区中包括开始页、实时监控页面、回溯分析页面和回放分析页面，各页面的具体描述如下：

• 开始页

包括产品的最新功能介绍、产品文档的链接和联系方式等信息。

• 实时监控页面

对网络链路进行实时监控，可以查看网络的流量趋势图、实时数据、TOP主机和TOP应用等信息。

• 回溯分析页面

对网络链路进行回溯分析，通过对历史数据的挖掘和搜索，可以快速重现网络故障，解决网络问题。

• 回放分析页面

对数据包进行回放分析，可以对数据进行分析，发现网络中存在的问题。

控制台介绍

新特征回查

窍门

添加了多条特征时，建议勾选“边界”复选框，以此实现更精确的特征匹配，否则，可能造成模糊匹配，出现匹配不准确的情况。

除了“内容”条件，系统还支持按端口、数据包大小以及协议（TCP/UDP）进行特征组合添加，具体的添加操作请根据实际的回查条件设置即可。

特征值过滤：

进行特征值回查时，还可设置回查过滤条件，通过在指定的过滤条件中进行回查，提高回查效率。过滤条件可设置以下类型：

如果指定了过滤条件，则在指定的条件中回查，如果没有设置过滤条件，则在所有数据中回查。

境外IP地址DNS检索

科来网络全流量安全分析系统提供对境外IP地址的DNS解析记录保存及快速检索，用以查询某个IP地址在什么时间由什么域名解析，从而发现异常的DNS解析。

在每个分析视图的工具栏中，均提供了DNS检索入口，如下图：

时间范围：即在当前的时间窗口中选择的时间段；

文本框：在文本输入框中，可手动输入需要检索的IP地址，如果在“境外IP地址”图，可选择指定的IP地址，再单击检索按钮，选择的地址将自动添加到此文本框中；

查到就停止：如果一个地址有多次解析记录，勾选此选项后，则在查询到一次记录后，就不再继续查询；

查询结果：查询结果记录参数包括解析IP地址、解析时间、解析域名、国家、请求源IP、TTL、DNS服务器地址、手机号，可单击“导出”按钮将查询结果到处csv保存。单击右键，可复制解析域名。

：仅通过3G通讯的域名回查才会显示手机号，非3G通讯，此字段为空。

UserAgent查询

科来网络全流量安全分析系统提供对HTTP通讯的HTTP协议头部字段的UserAgent字段进行自动提取与记录，能够帮助用户了解内网进行HTTP通讯的IP地址、浏览器以及操作系统信息，同时为Wi-Fi流量的过滤提供数据依据。

在每个分析视图的工具栏中，均提供了UserAgent查询入口，如下图：

设置网络链路：