NetTank(网络流量分析工具)绿色版 v1.0(附教程)

NetTank是一款简单易用的网络流量分析工具，它可提供截包功能，可对数据包进行解析及数据分析功能。对于网络管理员来说，想要随时了解网络的状况，查找网络故障的发生原因，就应该对网络流量进行实时监控，并且对历史信息了如指掌。而现在有了NetTank，这一切将变的极其简单，它可对网络的流量和协议可以快速进行分析，方便网管人员对网络进行维修与维护。NetTank允许用户设置多种过滤条件进行截包，且符合BPF语法，同时解析后可存入Access数据库，以此可方便用户进行统计分析。NetTank可提供ICMP分析扫描与被扫描者及扫描关系、ICMP数据包类型分析、局域网中TCP及UDP流量分布统计、局域网互访关系分析、SYN扫描分析等数据分析功能。

功能特色

一、提供截包(sniffing)，对数据包进行解析以及数据分析的功能
二、可设置多种过滤条件进行截包，符合BPF语法
三、解析后存入ACCESS数据库，便于统计分析
四、提供的数据分析功能有:
1.ICMP分析扫描与被扫描者及扫描关系
2.ICMP数据包类型分析
3.局域网中TCP,UDP流量分布统计
4.局域网互访关系分析
5.SYN扫描分析

使用教程

一、建立数据库
1.在Nettank中建立数据库的方法有两种:
★直接用软件建立(不需要安装其他软件，如Microsoft Access等)
★用数据库软件建立(一般利用Access程序直接建立一个空Access数据库)
2.打开软件主界面，单击工具栏中的"文件"按钮，在弹出的菜单中选择"建立mdb文件"选项

3.在弹出的"选择要保存mdb文件的地址"对话框中，选择要保存文件的路径并单击"保存"按钮

4.如果用Access程序直接建立空Access数据库，在要建立数据库的地址下右击空白处，在弹出的快捷菜单中选择"新建"下的"Microsoft Office Access应用程序"选项

二、解析数据包
用Nettank截获数据包和解析数据包
1.在软件主界面的工具栏上单击"文件"按钮，在弹出的菜单中选择"初始化mdb文件"选项，在"选择要初始化mdb文件"对话框中选择已经创建好的文件

2.单击"打开"按钮，弹出"The mdb file has been initialized"提示消息

3.单击工具栏上的"截包"按钮，在弹出的菜单中选择"设置保存目录"选项，在弹出的对话框中键入保存路径，单击"确定"按钮

4.单击"解包"按钮，在弹出的菜单中选择"开始"选项或单击" "图标，在弹出的对话框中设置过滤条件

5.设置完过滤条件后，单击"确定"按钮，软件开始捕获数据包

6.单击" "图标停止捕获数据包，单击" "图标，选择要分析的数据库，单击"ICMP分析"按钮，在弹出的菜单中选择"统计扫描者"选项，结果将显示在列表框中

7.单击" "图标或单击"ICMP分析"按钮，在弹出的菜单中选择"统计被扫描者"选项，软件将列出被扫描IP的统计数据以判断入侵的可能

8.单击" "图标或单击"ICMP分析"按钮，在弹出的菜单中选择"统计扫描关系"选项，软件将列出IP扫描关系，根据扫描次数可判断潜在的入侵探测关系

9.单击" "图标或单击"ICMP分析"按钮，在弹出的菜单中选择"各ICMP包类型所占百分比"选项，软件将以饼图显示出结果

10.单击" "图标或单击"IP流量分析"按钮，在弹出的菜单中选择"目的IP流量统计"选项，软件将列出IP所收到的流量，查看当前比较活跃的IP

11.单击" "图标或单击"IP流量分析"按钮，在弹出的菜单中选择"TCP端端连接流量统计"选项，软件将列出TCP端端连接在总流量中所占的比例

12.单击" "图标或单击"IP流量分析"按钮，在弹出的菜单中选择"UDP端端连接流量统计"选项，软件将列出UDP端端连接在总流量中所占的比例

13.单击" "图标或单击"IP流量分析"按钮，在弹出的菜单中选择"局域网互访关系统计"选项，软件将列出局域网内计算机的互访记录

14.单击" "图标或单击"SYN分析"按钮，在弹出的菜单中选择"显示数据库中所有数据"选项，软件将列出数据库中所有数据

网络流量怎么换算？

一、网络流量单位是 bps、Kbps、Mbps，而我们在使用windows或下载工具中看到的是MByte/s
二、比如安装adsl时使用1Mbps的宽带，在我们使用下载工具中最大使用的速度为1000bps /8  x 1024=128KByte/s 也就是每秒钟为128K，之所以这样是因为1个字节等于8位，而bps中的这个b表示位，而我们在windows中操作中所接触的单位为字节，所以需要除以8转换为字节。最后在我们接触到网络带宽单位时都要除以8，换算为字节
三、二进制:
★1 byte (B) = 8 bits (b) （1字节=8个二进制位）
★1 Kilobyte(K/KB)=2^10 bytes=1,024 bytes 千字节 
★1 Megabyte(M/MB)=2^20 bytes=1,048,576 bytes 兆字节 
★1 Gigabyte(G/GB)=2^30 bytes=1,073,741,824 bytes 千兆字节 
★1 Terabyte(T/TB)=2^40 bytes=1,099,511,627,776 bytes吉字节 
★1 byte (B) = 8 bits (b) 
四、十进制:
★1 Kilobyte (K / KB) = 10^3 bytes = 1,000 bytes
★1 Megabyte (M / MB) = 10^6 bytes = 1,000,000 bytes =1000KB
★1 Gigabyte (G / GB) = 10^9 bytes = 1,000,000,000 bytes =1000MB
★1 Terabyte (T / TB) = 10^12 bytes = 1,000,000,000,000 bytes=1000GB

网络流量分析目的 

简单的说，对网络流量进行分析的目的是了解、发现和证明 
了解，管理好一个网络最重要的就是对网络的了解，了解网络拓扑、设备、配置等是必须的，但要保证网络的服务质量，那是远远不够的，对网络流量的分析能使网络技术人员更深入地了解网络
一、网络运行规律的了解
每个网络都有自身的运行规律，这和网络的结构、应用特点等紧密相关，通过流量的长期分析，能够了解网络系统运行的规律
二、网络应用运行规律的了解
网络上重要的应用在运行时，每一个访问，每一个交易处理，数据都由网络来传输，通过分析应用的流量，能够清楚的了解应用运行的规律，访问量、交易处理数量、响应性能等数据，都可以通过流量分析手段获取
三、网络用户的网络行为
每个网络用户的网络行为都是相互影响的，同时会对网络的运行产生影响，伴随每个用户在网络中的每个网络行为都有网络流量产生，通过对网络用户的网络流量进行分析，能够直观地了解网络用户的网络行为
发现，主要是异常地发现是建立在了解的基础之上的，如果能做到及时地发现网络中的异常，将使网络管理更主动，将为网络的持续高性能运行提供重要的保障（异常流量丢包严重）:
1.网络运行异常的发现
网络中流量的异常，包括利用率、数据包数的异常
2.网络应用运行的异常发现
连接数量、应用响应、应用流量的异常，都可以通过长期主动分析来及时发现
3.网络用户的异常网络行为
异常的网络行为也都有明显的流量特征，如感染的蠕虫病毒、安装了后门程序等，长期流量分析能及时的发现网络用户的这些异常网络行为，及时发现网络用户的异常网络行为是避免其影响网络运行的关键。  
证明，网络流量的分析可以为网络和应用问题的分析提供依据，特别是数据包级的分析，而这些依据是真实的，因为它们是实实在在的在网络中传输的数据包，这也是流量分析能够大大提高网络和应用问题分析效率的原因

网络流量分析意义

网络流量分析是有助于维护网络持续、高效和安全运行的一种手段，网络流量分析的意义在于取得对网络运行管理、应用运行管理和网络应用问题分析有意义的数据。这些数据多种多样，像是利用率、bps、pps 还是延迟、重传、连接数量等这些流量分析的数据，都要和我们实际的网络应用运行情况结合起来才有意义，因为不同的网络和不同的应用都有完全不同的流量数据。
网络流量分析的数据的意义是建立在了解的基础上的，只有对网络和应用的深入了解，才能使这些数据的价值得到真正的体现