网络分析学习资料 -10bet十博欢迎您
概要统计视图介绍
一、简介
概要统计视图位于主视图区,近百个统计计数器为用户提供非常详尽的统计信息,快照功能允许用户对特定时段的数据变化进行比较。概要统计不仅是全局的,每个网络协议和网络端点都有自己的概要统计,用户可以开启多个窗口,比较不同协议或端点之间的概要统计。图表视图的数据都来自与概要统计中,图表视图是概要统计的另一表现形式。
二、界面及说明
概要统计视图中统计内容有:统计信息,物理错误,802.3错误,网络流量,数据包大小分布,最常见的数据包大小,tcp数据包,tcp连接,dns分析,ftp分析,http分析,smtp分析,pop3分析。如下图,
图1
说明:
1. 快照
快照功能可以让用户对某些特点时间段的数据进行对比,这样可以让用户判断网络是否正常。如下图,
图2
2. 概要统计的具体内容
- 统计信息
显示科来网络分析系统开始运行的日期、时间,以及持续运行的时间。
- 物理错误
显示网络中的物理错误数据包数,包括crc错误、对齐错误、过大数据包错误和过小数据包错误。如果系统捕获到网络中有较多此类物理错误的数据包,表示当前网络的物理层可能存在故障,具体可能是由网络设备及线路干扰过大、网线rj45头损坏、接触不良、线路两端设备速率不匹配等情况造成。
- 3错误
显示网络中ieee802.3错误的数据包数,包括802.3一次冲突错误、802.3多次冲突错误、802.3最大冲突错误和802.3延迟发送错误。当网络中出现较多此类物理数据包时,表示网络的传输存在故障,具体可能是由网络阻塞、两端设备速率模式不匹配、传输线路超出规定范围、网络设备(如网卡)硬件错误等情况造成。
- 网络流量
显示网络中数据通讯的流量占用情况,包括总共流量、广播流量和组播流量。对每种流量,又可详细统计出其字节,数据包,每秒数据包,利用率等信息,通过这些信息,我们可以知道当前网络的总体工作状态,当总共流量的利用率超过50%,表示网络的负载过重;广播流量或组播流量大于总流量的20%,表示网络中可能存在广播/组播风暴或arp攻击。
- 数据包大小分布
显示网络中数据包的大小分布情况,不同大小的数据包,都可对其总共字节、数据包数、每秒数据包数、以及利用率等信息进行统计,通过数据包大小分布,可以知道网络的通讯质量,如当<=64或>=1518的数据包过多,占用总流量比例过大时,表示网络中可能存在非正常的网络通讯,如碎片或数据包溢出攻击。
- 最常见的数据包大小
显示网络中数量最多的数据包的大小以及这些数据包的流量占用情况,包括这些数据包的个数,占用字节数,每秒数据包数以及利用率等信息。通过这些信息,我们可以知道当前网络通讯中最多的数据包是什么,并判定其相应的服务,如1518和64字节左右的数据包排在前两位,表示网络中可能存在大文件的上传下载操作;另外,如网络中某固定大小的数据包占用流量及利用率均很高,表示网络中可能存在dos/ddos/drdos攻击。
- tcp数据包
显示网络中的tcp数据包数,包括tcp同步数据包、tcp结束连接数据包、tcp复位数据包,对每一种tcp数据包,都可以显示出其占用字节数,数据包个数,每秒数据包数以及利用率等信息,通过这些信息,可以知道网络中的通讯是否正常。如tcp同步数据包和tcp复位数据包大大超过其他类型数据包时,表示网络中可能有扫描器在工作,或者网络中有主机正在被扫描攻击。
- tcp连接
显示网络中的tcp连接数,可统计出初始化的tcp连接数、成功建立的tcp连接数。通过对这些信息的统计,我们可以知道网络中的tcp通信是否正常,如初始化的tcp连接数较多,而成功建立的tcp连接数很少时,表示网络中的主机可能感染病毒,且此病毒正在试图连接其他主机的某些tcp端口以进行感染。
- dns分析
每条日志均表示服务器端返回的一个dns响应。对于每条日志信息,可以捕获并统计出其对应客户端地址、客户端端口、服务器端地址、服务器端端口、查询的域名、请求是否成功、服务器端的回答、权威回答、附加效果、以及具体的分析结果。通过这些信息,可以有效查看网络中所有用户或特定用户的dns请求及响应情况。
- ftp分析
显示网络中ftp传输数据包的统计信息,包括ftp控制连接数、登录失败次数、成功的数据连接数、以及访问的服务器数等。通过这些信息,我们可以确定网络中进行ftp数据上传下载的情况,包括ftp服务器的数据是否被未被允许的上传下载,网络中是否存在ftp账户的用户名密码的情况,以及对上传下载的数据进行统计。
- http分析
显示网络中上网的统计信息,包括http连接数、http请求数、通过http端口传输非http数据的连接数、访问过的http服务器数等。通过这些信息,我们可以对网络中的网页浏览进行统计,并确定网络中是否存在使用http代理的程序,如通过http端口传输非http数据的连接数较大时,说明网络中可能正在运行使用http代理服务器工作的程序,如qq、msn等p2p软件。
- smtp分析
显示使用smtp协议进行邮件发送的信息,包括建立的smtp连接数,失败的smtp连接数、服务器应答错误数,以及发送的邮件数等等。通过这些数据,我们可以确定网络中的邮件发送是否正常,如网络中的smtp服务器工作是否正常(包括工作效率);网络中的smtp服务器是否可能被黑客控制,正被用于处理垃圾邮件;网络中是否存在感染蠕虫病毒的主机;网络中是否存在破解邮箱用户名密码的情况。
- pop3分析
显示使用pop3协议进行邮件接收的信息,包括建立的pop3连接数,失败的pop3连接数、服务器返回错误数,以及接收的邮件数等等。通过这些数据,我们可以确定网络中的邮件接收是否正常,如邮件的pop3服务器是否正常工作(包括其工作效率);网络中是否存在破解邮箱用户名密码的情况。