用网络协议分析工具侦测网络故障(下)

　　四，用科来让网络中流氓软件现身：

　　常在河边走哪能不湿鞋，我们的操作系统中很容易被安装了流氓软件或恶意插件，这些软件不光占用我们的系统资源还会侵犯我们宝贵的网络带宽，而我们同样可以利用科来分析系统让网络中的流氓软件现身。

　　第一步：首先让我们要监听的网络各个主机不要有任何网络操作网络访问，将不必须的程序都关闭，特别是网络程序和网络服务。

　　第二步：开启科来网络分析系统监听镜像端口，如果发现有数据包产生，那么马上分析数据包具体内容，例如笔者就发现在没有任何操作的情况下网络中出现了有主机在和p3pping.sogou.com这个地址进行通讯，因此怀疑这个主机上被安装了SOGOU恶意插件。（如图18）

图18：

　　第三步：同时笔者还发现有部分通讯的目的地址为pv.uitv.com，于是马上访问了这个站点，通过首页介绍我们知道uitv.com对应的是联合网视网站，那么这个流量应该就是由于有计算机安装了其在线播放的插件而产生的流量，这也应该归为一种恶意插件毕竟在不知不觉中产生了网络流量。（如图19）

图19：

　　五，附加小工具：

　　科来网络分析专家还为我们提供了几个非常有用的小工具，一个是科来MAC地址扫描器，通过他我们可以在网络没有问题的时候建立MAC地址与IP地址的对应关系，这样就可以最大限度的防止ARP欺骗病毒的爆发，即使造成影响也可以通过这个列表快速恢复。（如图20）

图20：

　　同时科来网络分析专家还提供了数据包生成器与数据包播放器，我们可以通过这两个工具来自己制造网络数据包并通过导入功能重新发送之前保存的数据包，还可以修改已经保存过的数据包然后再发送出去，总之这个功能很好，对于网络管理员来说可以通过这两个工具辅助数据包，例如ARP还原数据包，告知网络内各个机器真正的网关MAC地址是多少。（如图21）（如图22）

图21：

图22：

　　六，总结：

　　经过笔者几个月的测试科来网络分析专家的总体表现是非常不错的，从某种意义上讲他已经超过了sniffer，额外功能使用得当也能够让网络管理员省不少事。总之有一个好的网络工具作为帮手，网络管理也变得简单得多，以前很多问题不知从何下手，而今直接拿出该工具扫描即可轻松找到问题根源。当然由于篇幅关系笔者也仅仅介绍了几个实际案例，更多的功能还需要感兴趣的读者自行挖掘。