用网络协议分析工具侦测网络故障(下)

    本文我们继续通过科来网络分析专家的分析系统来帮助更好的解决和处理网络实际问题，通过其自身的强大分析系统快速定位故障，在第一时间解决麻烦。

　　一，事半功倍监控MSN：

　　也许监控MSN聊天会侵犯员工隐私，但是在企业禁止聊天的情况下通过监控来管理来约束员工行为也是未尝不可的。由于MSN在传输时没有加密，所以说通过科来分析专家监控到的信息会更加全面，不光是MSN登录帐户可以清楚的获取就连MSN聊天内容也将一览无余。

　　第一步：打开科来分析专家，然后点“开始”按钮进行监控，如果内网中有MSN登录的话我们会在左侧看到TCP协议下的MSN选项，同时右边会记录所有与MSN通讯有关的数据包具体情况，包括数据包大小数量等，当然这些不是我们所关心的我们直接点右边窗口上方的“数据包”标签切换到具体内容。（如图1）

图1：

　　第二步：在“数据包”具体内容中我们一个个数据的查找，仔细查看会看到MSN在登录时发送与接收到的信息，从中可以看到MSN帐户softer26@hotmail.com的踪影，这个就是我们监控到的信息。

　　第三步：当有人使用MSN聊天时我们通过分析数据包可以查看到其通讯对象，聊天对象。（如图2）

图2：

　　第四步：同时对于聊天内容我们也可以直接查看到明文信息，不过这都需要我们仔细分析数据包从中过滤挑选有用信息。（如图3）

图3：

　　第五步：当然科来网络分析系统还为我们单独提供了一个MSN通讯组件，我们直接点右边区域上方的“日志”标签，在这里选择MSN通讯，这样我们就能够更加轻松更加直观的了解到当前MSN的登录情况以及通讯内容聊天信息了。（如图4）

图4：

　　比起之前的数据分析法后面的MSN通讯组件发更容易上手也比较简单，但是我们应该尽可能的掌握数据分析法，毕竟还有很多数据和网络应用科来分析系统并没有通过组件的形式提供给我们。必要时还是需要我们一个个数据包进行分析的。

　　小提示：
　　不光是MSN在通讯时以明文传输，就是我们平时访问登录FTP时用户名与密码也会以明文的形式传输的，因此在科来网络分析系统监控下FTP的地址，用户名，密码也将没有任何隐藏的可能。由于分析方法类似这里就不展开说明了。（如图5）
 

图5：

　　二，数据统计不求人快速导出帮你忙：

　　网络监控任务是艰巨的，很多时候我们都要面临很多数据包进行分析，如果依然一个个的查看一个个的对比难免为我们这些网络管理员带来太多的工作，实际上科来网络分析系统为我们提供了数据统计的功能，我们可以将监控到的数据包整理成TXT等格式的文档，然后通过搜索功能找到我们需要的数据。

　　第一步：当我们监听一段时间后要对监控到的数据包进行分析时会发现数据量非常大，一个个分析不太现实，例如笔者针对页面进行分析扫描登录SOHU邮箱的信息。这时我们可以通过导出功能将数据保存为TXT格式的文件，点右边窗口左上角的导出按钮，在导出文件窗口中选择导出格式，科来系统支持包括TXT，CSC，HTML在内的多种格式，笔者还是最喜欢TXT格式。（如图6）

图6：

　　第二步：接下来是选择导出内容，我们可以根据实际选择要到处的列名称。（如图7）

图7：　

　第三步：数据包按照选择列一个个的导出成TXT格式的文档，方便我们统筹管理与备案分析。（如图8）

图8：

　　第四步：之后我们直接通过TXT记事本文件的查找功能搜索sohu信息，我们就能够查到登录SOHU邮箱时使用的帐户信息了，在GET地址处看到了userid为softer@sohu.com。（如图9）

图9：

　　第五步：不同的邮箱登录的触发地址都各不相同，例如笔者单位使用的DOMINO系统在邮箱登录时是通过get /mail/ruanzheng.nsf地址来进入个人邮箱的，相应的用户名为ruanzheng。（如图10）
 

图10：

　　三，强大的统计与过滤功能：

　　科来分析系统有强大的统计与过滤功能，之前我用过的sniffer也具备这些功能，不过个人感觉科来分析系统在操作上更灵活毕竟是中文界面而且很多地方设计更符合国情。

　　第一步：平时我们在监控时可以通过查看右边的“图表”标签来了解当前环境下网络利用率，错误包的比例，广播组播包的比例等，这些图表对分析网络，测算网络是否有病毒或规划问题都是很有帮助的，我们可以了解到当前总带宽大小是否超负荷运转。（如图11）

图11：

　　第二步：另外通过主界面上方的过滤按钮我们可以针对某一种协议进行监听，不符合该协议的数据包将直接丢弃。可选择的协议可以自定义也可以直接使用默认的。（如图12）

图12：

　　第三步：例如笔者为了检测网络内ARP数据包来判断是否有ARP欺骗病毒，只需要将ARP协议添加到过滤表中，然后确定即可，这样科来分析系统会对接收到的所有数据包进行分析，符合ARP协议的收集并显示出来，不符合的直接丢弃。（如图13）

图13：

　　第四步：再次开始监控，我们会发现找到的数据包都是ARP协议的，这样可以更加方便的让我们根据实际需要去监听网络协议。（如图14）

图14：

　　第五步：同时科来分析系统为我们提供了大量宝贵的报表，我们可以根据实际监听结果直接分析出流量最大的前十IP等排行。（如图15）

图15：

　　第六步：日常我们这些网络管理员都会被ARP欺骗病毒所烦恼，科来分析系统特别对ARP数据包进行了概要解析，我们可以直接从概要处看到每个数据包实际的功能，非常直观。（如图16）

图16：

　　第七步：同时利用“矩阵”功能也可以让我们了解到当前网络内各个IP地址与内外网各个终端设备的通讯状况，这个IP矩阵或MAC地址矩阵可以让我们看出哪个地址流量最大，连接数最多，这些地址将成为病毒携带者的最可能人选。（如图17）

图17：