网络流量监控论文(编辑修改稿)

网络流量监控论文(编辑修改稿)内容摘要：

CPU产生中断进行响应，然后调用驱动程序设置的网卡中断程序地址调用驱动程序接收数据，然后放入堆栈进行系统相关处理，若不匹配则直接丢弃该数据包[3]。 对于网络接口，它一般具有4种数据接收模式：广播、组播、直接和混杂模式，只有当把接口设置为混杂模式时，网络接口才能接收所有的数据，无论地址是否匹配，所以在做本设计的时候一定要设置为混杂模式才能实现数据的采集。 第二，需要了解套接字的工作程序和使用方法：一般来说，采用套接字开发网络程序需要经历以下几个基本步骤：启动、创建、绑定、监听（接受连接）、连接、发送/接收数据、关闭、卸载等。 第三，具体到Windows下利用原始套接字捕获网络数据可以这样设计：（1）启动套接字；（2）创建一个原始套接字；（3）将套接字与本地地址绑定；（4）设置操作参数；（5）设置网络接口为混杂模式；（6）启动监听线程，开始接收数据；（7）退出关闭套接字。 （1）启动函数WSAStartupint PASCAL FAR WSAStartup (DWORD wVersionRequested , LPWSADATA lpWSAData)；每一个套接字应用程序都必须调用该函数进行一系列初始化工作，并且只有调用成功返回后，才能开始使用套接字，其中参数wVersionRequested是版本号，高字节是次版本号、低字节是主版本号，参数lpWSAData是指向WSADATA结构的指针。 （2）套接字创建函数socketSOCKET socket (int af , int type , int protocol)。 所有的通信在建立之前都必须创建一个套接字，socket函数的功能就是创建套接字，其中参数af指协议地址族（address family），当建立的套接字是依赖于UDP或TCP的话，需要设置af为AF_INET,表示采用IP协议。 参数type是指协议的套接字类型，采用流式套接字时用SOCK_STREAM，采用数据报套接字时用SOCK_DGRAM，采用原始套接字时用SOCK_RAW。 参数protocol是协议字段，默认情况下可直接设置为0。 （3）绑定函数bindint bind ( SOCKET s , struct sockaddr_in* name , int namelen)。 成功创建套接字后的下一步工作就是将本地网络接口与套接字进行绑定，其中参数s是创建的套接字，参数name是需要绑定的通信对象的信息结构体指针，namelen是该结构的长度。 需要注意的是sockaddr_in结构：struct sockaddr_in{short sin_family。 //地址族，设置为AF_INETunsigned short sin_port。 //指定的端口号struct in_addr sin_addr。 //IP地址char sin_zero[8]。 }。 由于主机序列与网络序列的关系，在程序中需要使用htons等函数进行转换工作。 （4）设置接口模式函数WSAIoctlint WSAAPI WSAIoctl(SOCKET s, DWORD dwIoControlCode, LPVOID lpvInBuffer, DWORD cbInBuffer, LPVOID lpvOutBuffer, DWORD cbOutBuffer, LPDWORD lpcbBytesReturned, LPWSAOVERLAPPED lpOverlapped, LPWSAOVERLAPPED_COMPLETION_ROUTINE lpCompletionRoutine)。 其中，s为一个套接口的句柄，dwIoControlCode为操作控制代码，lpvInBuffer为输入缓冲区的地址，cbInBuffer为输入缓冲区的大小，lpvOutBuffer为输出缓冲区的地址，cbOutBuffer为输出缓冲区的大小，lpcbBytesReturned为输出实际字节数的地址，lpOverlapped为WSAOVERLAPPED结构的地址，lpCompletionRoutine为一个指向操作结束后调用的例程指针。 调用成功后，WSAIoctl 函数返回0，否则的话，将返回INVALID_SOCKET错误，应用程序可通过WSAGetLastError来获取错误代码。 （5）数据接收函数recvint recv (SOCKET s , char* buf ,int len , int flags)。 第四章网络流量监控系统各模块的设计与实现本设计开发平台采用Microsoft ，它是目前使用比较广泛的Winsock开发平台，因此具有较强的适应性，能够在很多的操作系统平台上运行，设计后具有直观的简洁的操作界面，稳定性也比较高。 通过收集与分析简单网络流量监控软件的用户需求，总结出以下特征：（1）需要实现对网络接口数据包的尽可能多的捕获，将网卡设置为混杂模式，然后进行数据包的采集；（2）数据包的内容要进行一定的解析，对数据包的协议类型、源目地址、数据包截获时间、数据包内容需要进行分析；（3）根据用户不同的要求能够依照特定地址范围、特定协议类型相关包等条件进行自定义监视；（4）监视结果输出有实时流量图、列表等显示；（5）实现日志记录，便于日后分析；（6）对某些常见的攻击进行发现分析。 总合以上系统要求与综合分析，本系统总体设计如下，采用VC++，系统具有三个主要功能部分：数据捕获与显示模块、流量信息统计模块、流量绘制模块，如图5所示。 流量监控分析系统数据采集模块信息统计模块流量绘制模块图 5 系统总体设计结构图数据采集模块：完成网络接口数据的捕获、解析和显示，可以根据用户定义条件组合来进行捕获，如只监视采用TCP或UDP协议的数据包，也可以监视用户希望关注的相关IP地址的数据包，同时完成数据封包日志记录，提高了系统的灵活性。 同时，在对数据包的解析过程中对一些常见入侵攻击特征进行判断，发出预警。 该模块采用编写原始套接字开发。 信息统计模块：完成统计功能，如统计IP要实现统计接收到的数据报数量、接收到的数据中协议出错的数量、正在请求传输的数量、路由表中可用路由数量、丢弃的数量、需要重组/成功重组的数量等，统计ICMP需要完成发送/接收的消息数量、满足超过TTL的数量、重定向数量、时间戳请求/应答数量等；采用IP助手函数完成。 流量绘制模块：完成总流量、输入流量、输出流量、瞬时流量值、最高流量值的显示；采用访问注册表网络性能数据完成有关数据的获取，通过流量图显示。 根据上面对各个功能模块的划分，进行更进一步的分析和设计，得到数据采集、注册表网络性能块访问大致的工作流程图，如图6与图7所示。 图 6 数据捕获处理流程图 7 网络性能数据块访问流程经过上面的分析与设计，得到该系统的总体功能结构、工作流程，也确定了从编写套接字到最后捕获数据，要经过创建、绑定、设置工作模式、启动线程、接收数据等一系列的处理操作。 为了实现处理中的每一步操作，设计了数据捕获的类关系，如图8所示。 图 8 数据包采集中各类的关系在上图中CSockSupport，CSockHelper ，CPackInterDlg，CBinDataDlg等是封装了各部分主要处理功能的类。 且这些类中封装了和这些类的操作相关的方法。 将在后面对这些类的功能和实现进行详细介绍。 （1）功能实现说明该功能模块主要由封装的CSockSupport，CsockHelper ，CpackInterDlg，CbinDataDlg四个类完成，下面将对这些类进行详细说明。 CsockSupport类：，在该类中封装了WSAStartup完成Socket的启动；CsockHelper类：主要实现了从获取本机信息结构、Socket创建、绑定、设置、启动线程、数据接收到协议分析的全部方法，详细处理流程见图9所示。 图。