案例-实时保存数据包实现回溯效果.docxVIP

第 PAGE 9页 实时保存数据包实现回溯效果 众所周知，目前科来产品主要有两款，科来网络分析系统2010和大容量存储的回溯分析系统。那推出了回溯的硬件产品，是否就意外着科来网络分析系统被淘汰或边缘化呢，当然不是，由于回溯产品的费用以及网络的规模决定，一个网络不可能做到任何一个角落的完全监控。 对一个网络的进行监控的最佳解决就是回溯分析系统+科来网络分析系统，回溯分析系统对网络中的重点区域进行监控，比如应用服务器区、互联网出口、分支机构介入点以及其他重要部门，2-3套科来网络分析系统用于便携式的解决故障。 即使这样，有时也会存在一定问题，比如一个没有部署回溯设备的区域在短时间内出现了间歇性问题，由于便携式在数据提取、数据挖掘上具有一定的局限性，在解决问题上会不太理想。由于已经购买了回溯的分析系统，那我们其实可以借助于回溯分析系统在数据调取、时间定位和深入挖掘的优势来解决这个问题。 借助科来分析系统的实时保存功能 把科来分析系统2010接入到出现故障的网络中，打开数据包实时保存功能，如下图： 注意一定要实时保存到一个单个文件中，可以指定到一个目录，并设置文件名 保存类型默认的即可。 选择全面分析，可以选择默认的设置：丢弃旧数据包（循环缓存）。 不能选择停止捕获数据包，否则在数据抓包过程中会自动停止，并如下信息： 这样就可以一直抓下去，直到故障的重现。 回溯控制台打开数据包工程 在科来回溯分析系统控制台左下方有两个切换按钮，服务器流量用于实时监控回溯分析服务器，数据包库用于打开数据包工程。在添加的路径中找到科来分析系统2010实时保存数据包的目录。 接下来，打开需要回溯分析的数据包工程即可，如图： 接下来就可以如回溯分析系统一样分析这些数据了。 比如我们可以定位到09：48到10:08的数据，并以20分钟为窗口显示 选取流量较高的一个时间段，来简单看一下流量。 流量最高的IP是192.168.10.119，显示地址位置为本地局域网，并且可以看到一些公网IP的具体地址位置，如123.138.238.64 陕西省西安市联通。 挖掘下119这个ip的应用统计，如图: 存在大量未知TCP应用，继续挖掘下这些TCP应用具体使用的哪些端口 下载并分析数据包，并选择安全分析方案对数据进行数据包级分析。 整个过程就完成了对科来分析系统2010实时保存的数据包实现回溯分析的效果。