科来网络分析工具基本操作与案例分析

网络分析工具——科来一、什么是科来
科来网络分析系统为网络管理工作提供了全面可靠的数据依据，它可以帮助用户排查网络故障、规避网络风险、提升网络性能、提高故障处理能力、减少故障损失并降低管理成本，所以，科来网络分析系统是网络管理中的必备产品。
科来网络分析系统是一个让网络管理者，能够在各种网络问题中，对症下药的网络管理方案，它对网络中所有传输的数据进行检测、分析、诊断，帮助用户排除网络事故，规避安全风险，提高网络性能，增大网络可用性价值。
管理者不用再担心网络事故难以解决，科来网络分析系统可以帮助企业把网络故障和安全风险会降到最低，网络性能会逐步得到提升。它为网络管理人员带来：
1.快速查找和排除网络故障； 2.找到网络瓶颈提升网络性能； 3.发现和解决各种网络异常危机，提高安全性； 4.管理资源，统计和记录每个节点的流量与带宽； 5.规范网络，查看各种应用，服务，主机的连接，监视网络活动； 6.分析各种网络协议，管理网络应用质量； 科来网络分析系统整合了行业领先的专家 分析技术，对当前复杂的网络提供精确分析，在网络安全、网络性能、网络故障方面提供最全面和深入的数据依据，是企业、政府、学校等网络管理所需要的关键性产品。二、基本使用教程
首先大家可以到这里去下载科来9最新的技术交流版，此次的版本没有节点限制而且免激活。
http://www.colasoft.com.cn/download/capsa.php

1、打开科来并按照截图中的指示选择要抓包的网卡开始抓包。




2、点击过滤器选在要过滤的条件或者自定义过滤条件。




3、基本视图




4、数据包分析




5、基本诊断分析




6、选择诊断方案



三、部署拓扑





四、案例分析
4.1、故障描述
6月22系统组的同事反映广州跳板机192.168.10.243访问北京分公司的服务器很慢几乎不能操作。（注：广州——北京的专线总带宽只有4M，而且每IP限速1M。）4.2、故障排查
4.2.1、端口镜像
将交换机连接北京专线的端口做一个镜像到科来客户机其中一块网卡连接的交换机端口，使得科来客户机可以抓取到北京专线的流量。
4.2.1、查看端口流量使用情况
打开科来网络分析软件开始抓包，从“我的图标”→“TopIP主机总流量”可以看到192.168.10.243的总流量占比明显要比其他IP高得多。初步判断是因为192.168.10.243超过了防火墙限速的1Mbps导致其无法正常访问北京的服务器。




4.2.2、分析数据包类型
在“IP会话”图表中过滤“192.168.10.243”可以看到10.243的80端口正在不断的往192.168.90.249、192.168.90.252、192.168.90.254发送数据。在4分钟的时间里分别发送了22.72MB、22.75MB、17MB。初步怀疑是否有http下载在进行中。




4.2.3、系统层面排查
通过把以上信息反馈给系统组的同事以后，系统组的同事在应用层面排查发现由于之前批量部署了个日志切割程序，因为结果网速慢的原因没下载完又重新下载导致了死循环所以使得10.243连接北京的带宽一直处于占满状态最终导致无法访问北京的服务器。停止http服务以后，10.243可以正常访问北京的服务器。五、总结
科来网络分析软件的功能十分强大，不仅仅可以用来做流量分析还可以通过数据包的特征来分析网络中是否存在问题或者是否有攻击行为。当然，预设的分析方案并不能满足我们的所有需求，我们最终还是得通过自己的网络知识和经验结合网络分析工具来找到问题的所在，本文中的案例也只是大千网络世界里的一个很平常的个案，大家如果有兴趣的话还是可以对这样的网络分析工具的功能进行深挖来帮助大家更好地在日常工作当中排障和分析。