常见问题解答

科来网络分析系统是一个专为数据包解码和网络诊断而设计的功能强大但使用十分简单的网络分析软件和网络维护工具。借助本系统的实时采集和数据分析功能，您可以捕捉、解码、分析网络中传输的数据。

【网络管理人员】– 查找网络故障，查找感染病毒的机器，统计网络流量，分析网络协议，查找发现网络中潜在的安全漏洞…
【公司主管】– 查看公司内部的网页访问，检测邮件是否安全，检测服务器的非法登录…
【安全管理人员】– 透视网络传输的具体内容，分析网络异常行为，查找网络潜在安全隐患…
【咨询顾问】– 网络分析，帮助客户解决网络故障，优化网络性能…
【网络应用开发者】– 调试您的网络应用程序，优化性能，测试发送和接收的内容，检查协议…

可以。蠕虫病毒分为基于邮件的蠕虫病毒和基于操作系统漏洞的蠕虫病毒两种，基于邮件的蠕虫病 毒工作特征主要表现在发送邮件频率高、邮件标题内容相近、邮件附件相同；基于操作系统漏洞的蠕虫病毒工作特征是尝试与局域网内所有主机建立连接、连接的端 口都一致且连接之间相隔时间短，流量占用较大。科来网络分析系统的邮件日志可以对网络内的邮件收发进行捕获分析并重组，用户根据邮件日志信息，结合邮件蠕 虫病毒的工作特征，即可找出局域网内感染邮件蠕虫病毒的机器；通过数据包视图和会话视图，则可以轻松找出感染系统漏洞蠕虫病毒的机器。

带宽占用分内部带宽占用和外部带宽占用两种。
要查看内部带宽占用，请在节点浏览器中选择IP端点->本地网段，然后在右边的概要统计视图中查看利用率。
要查看外部带宽占用，请在节点浏览器中选择IP端点->Internet Addresses，然后在在右边的概要统计视图中查看利用率。
注意：由于内部带宽和外部带宽大多时候不一致，而科来网络分析系统计算利用率的时候，默认以当前网卡的速率为基准，所以在计算不同的带宽时，用户需要检查甚至调整带宽，若要调整，可在网络适配器对话框完成。

尽管IP不断变动，但每一台机器的MAC却是相对固定的。你可以首先使用科来网络分析系统提 供的物理地址扫描器，找出网络中每个主机对应的IP地址，MAC地址和主机名（用户名称），当出现故障时，使用科来网络分析系统捕获数据包，再查看MAC 地址和主机名，也就定位了故障机器以及相关人员。

科来网络分析系统默认是启用了解析主机名的功能，即系统会自动将捕获到的IP地址解析为其对应的主机名。
注意在以下的情况下，主机名将不会被成功解析，这时系统由于没有成功解析出IP地址对应的主机名，就将显示为IP地址。
目标主机关闭NetBIOS协议，不允许解析
防火墙禁止解析主机名

默认情况下科来网络分析系统分析的HTTP访问，都是基于80端口的。要分析基于其它端口（如这里的10081）的网页访问，你可以在常规对话框中，选中自定义端口，单击右边的按钮，在弹出的对话框中，在HTTP右侧的输入框中加入10081即可。

可以，当网络中存在IP地址冲突时，科来网络分析系统会自动给出诊断的详细信息，信息中包括冲突的MAC地址，根据这个MAC地址，我们就知道了其对应的主机，从而找出引起IP冲突的源主机，从而解决IP冲突故障。

是的，科来网络分析系统支持BT协议，如果网络中存在BT下载的情况，系统会自动显示出BT使用的详细情况，如源主机，目标主机，具体时间等等,同时你也可以通过矩阵视图来查看，使用BT的主机会与大量的外网地址建立连接，矩阵图呈发散状。

可以。科来网络分析系统报表视图，可以自动将整个网络，一个网段，一台主机，一个协议的分析结果生成报表，需要时，你可以将报表导出为html文件。报表中包括二维数据包以及三维图表信息，并允许用户修改。

可以。科来网络分析系统会全程记录下你的服务器的访问数据包，其中攻击数据包也包括在里面，通过查找攻击数据包的源地址，我们也就找到了攻击源。

是的，科来网络分析系统可以跨VLAN进行数据捕获分析，即可以捕获分析贵公司所有部门的数据通讯。
如果你只需要查看某个部门的通讯，你可以设定一个地址过滤器，只捕获相应部门地址段的数据，这样科来网络分析系统就只会捕获符合你设定条件，即你设定部门的数据通讯。

可以。矩阵视图中提供了显示过滤的功能， 默认情况下，可以显示全部数据，也可以只显示流量最大的100个节点或100个会话，同时，系统还提供了自定义显示条件的功能，你可以根据自己的需要定义相应的显示过滤条件，以显示对应的数据。
另外，矩阵视图还提供物理矩阵和IP矩阵两种矩阵类型，以及单播，多播，广播三种流量类型的矩阵信息。

如果所有本地数据包的TCP校验和或者IP校验和均显示为错误，原因很可能是你的网卡启用了不计算校验的功能。
当启用该功能时,网卡去执行计算CRC的过程，Windows的TCP/IP协议栈不会计算TCP校验和，并以0x0000标识，而科来网络分析系统在驱 动层捕捉数据包，在每一个数据包到达网络适配器之前收集它们的副本，所以会出现大量TCP校验和错误或者IP校验和错误的诊断信息。
解决办法：在网络适配器的高级设置对话框中禁用“卸掉TCP校验和”项和“卸掉IP校验和”选项。

过滤器（数据包过滤器）是科来网络分析系统进行数据采集时的重要工具之一，其工作原理是根据设定的过滤条件，让系统只捕获符合条件的数据包。
过滤器的使用非常简单，你既可以在过滤器对话框中，选择系统的默认过滤器，也可以按照自己的需要新建一个新过滤器。

科来网络分析系统可以非常详细地统计整个网络、一个网段、一个MAC地址、一个IP地址以及一个协议的流量信息，包括总流量，每秒流量，平均流量等，并将这些信息输出端点视图和协议视图中。

可以。通过对局域中数据通讯的原始数据包进行捕获分析，可以分析出是造成局域网慢的具体原因，比如网络环路，广播组播风暴，病毒攻击，服务器响应慢，客户端响应慢，应用程序响应慢，以及其它一些配置错误。从而我们也就找到了局域网访问慢的真正原因。

科来网络分析系统的邮件分析功能，支持的协议是SMTP和POP3，而基于网页的邮件发送，使用的是HTTP协议，并使用表单方式进行的提交，所以它不会自动在邮件日志中显示。

科来网络分析系统默认情况下并没有保存邮件的复本信息，在这种情况下，你将不能直接查看到邮件的原始信息。要启用该功能，你需要在日志对话框中，选中邮件信息，同时勾选中保存邮件选框，并在右侧选择保存的路径。

可以。访问网页慢的原因有以下几点：客户端到Web服务器的路由慢，Web服务器自身速度慢，Web服务器系统脚本（网页脚本）处理慢。科来网络分析系统可以对上述每个阶段所用的时间进行详细地记录，从而让我们轻松地找出上网慢的具体原因。

不可以。 https是加密传输的，科来网络分析系统甚至所有的协议分析软件都只能捕获到https的通讯数据包，但不能分析并重组出它具体的访问信息。

可能是你的安装部署位置不当造成的。科来网络分析系统以旁路接入方式工作，如果你的网络是交 换式网络，那么你需要在交换机上配置镜像操作，并将安装科来网络分析系统的机器连接到交换机的镜像端口上。如果没有接到镜像端口，那么你只能看到本机的数 据通讯以及网络中的广播组播数据包，而网页访问，是TCP通讯，所以你只看到了你本机的网页访问信息。

在节点浏览器中，选择 某个协议，这时右边主视图区的所有信息都只是当前选中协议对应的信息。

表示你的网络中的应用程序响应太慢，只是速度相对较慢，问题应该不会太严重。
科来网络分析系统的诊断设置中，有一个默认的阈值，你在分析你网络的实际情况后，如果有必要，可以对这些默认的值进行修改，以找到最适合你网络的阈值。更改的方法是：打开诊断设置，选择相应的诊断条目，在右边阈值更改中修改即可，注意阈值的单位是ms。

一般情况下，一个网卡下面有多个IP的情况以下几种：
正常情况下，一个网卡配置多个IP。
网关，在数据通讯时，每一个三层设备都会将数据包的源地址改成自己的，并发给下一个设备，所以一个网关对应多个IP是正常的。
ARP攻击，在做ARP攻击的时候，一般会有一个中间人的主机，这台主机的由于需要同时欺骗客户端和网关，所以它会对应多个IP主机。
所以出现一个网卡对应多个IP时，我们需要对其进行分析，如果它属于第1和第2种，则是正常的;但如果是属于第3种，则表示网络中存在攻击，且当前的这个网卡所对应的主机就是攻击源，应立即对其进行彻底排查。

可能是你的捕获的数据包的流量远远大于你设置的缓存，而科来网络分析系统默认情况下使用循环缓存的方式存储数据包，对于你选定的协议，它的数据包已经被冲掉，所以在你打开时，没有显示出该协议对应的数据包。

科来网络分析系统默认显示的是网卡的厂商，如果你需要查看真实的MAC地址，请单击”查看->显示网卡厂商”，这时你就可以看到原始的MAC地址了。

网络协议是基于某一种网络应用的通信规范：网络之间要成功的建立通信，大家都要遵守一种通讯语言，这就是网络协议。打个比方就是，普通话就是一种通信规范，如果大家都不学习普通话，说自己的地方语言，那我们人与人之间的交流就会听不懂对方说什么。网络协议就是双方能建立正常通信的前提。

什么是网络协议分析？