版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
1、毕毕 业业 设设 计计( 论论 文文) 网络流量监控及分析工具的设计与实现网络流量监控及分析工具的设计与实现 论文作者姓名:论文作者姓名: 申请学位专业:申请学位专业: 申请学位类别:申请学位类别: 指指导导教教师师姓姓名名(职职称称) : 论文提交日期:论文提交日期: 网络流量监控及分析工具的设计与实现网络流量监控及分析工具的设计与实现 摘摘 要要 互联网迅速发展的同时,网络安全问题日益成为人们关注的焦点,病毒、 恶意攻击、非法访问等都容易影响网络的正常运行,多种网络防御技术被综合 应用到网络安全管理体系中,流量监控系统便是其中一种分析网络状况的有效 方法,它从数据包流量分析角度,通过实时地
2、收集和监视网络数据包信息,来 检查是否有违反安全策略的行为和网络工作异常的迹象。 在研究网络数据包捕获、 tcp/ip 原理的基础上,采用面向对象的方法进 行了需求分析与功能设计。该系统在 visualc+6.0 环境下进行开发,综合采用 了 socket-raw、注册表编程和 ip 助手 api 等 vc 编程技术,在系统需求分析的 基础上,对主要功能的实现方案和技术细节进行了详细分析与设计,并通过测 试,最终实现了数据包捕获、流量监视与统计主要功能,达到了预定要求,为 网络管理员了解网络运行状态提供了参考。 关键词关键词:网络管理;数据采集;流量统计;winsock2 the design
3、 and implementation of monitoring and analyzing tool for network traffic abstract with the rapid development of internet, network safety has become peoples concern, virus, vigorous attack, illegal visit and so on can easily affect the normal network performance. various kinds of network defending te
4、chnology have been comprehensively applied into the management system of network safety. network traffic system is one of the effective measures to analysis network condition. from the angle of analyzing packet traffic, it can examine the safety violation and the abnormal performance of network by t
5、imely collecting and monitoring packets information. by using the way of object-oriented, this design makes a needs analysis and ability designing based on the study of network packet collecting and tcp/ip theory. under the environment of visual c+6.0, this system adopts vc program technologies of s
6、ocket-raw, windows register and iphelper api. on the basis of system analysis, it makes a deliberate analysis and test of plans and details to implement packets collecting, traffic monitoring and statistics. so this meets our needs and makes a reference for managers to get to know the network condit
7、ions. key words: network management; data collection; traffic analysis; winsock2 目目 录录 论文总页数:22 页 1引言.1 1.1课题背景.1 1.2网络安全管理的现状与需求.1 1.3网络流量监控的引入.1 1.4本文的目的与任务.2 1.5论文结构安排.2 2相关的概念与技术.2 2.1osi 参考模型与 tcp/ip 体系结构.2 2.1.1osi 参考模型.2 2.1.2tcp/ip 体系结构.3 2.1.3osi 模型与 tcp/ip 体系结构的区别.4 2.2传输层的编程接口windows 套接字编
8、程技术 .4 2.2.1windows 套接字的概念 .4 2.2.2套接字类型.5 2.2.3涉及的几个基本概念.5 2.3原始套接字.5 3网络数据的采集技术分析.6 3.1windows 下原始数据包捕获的实现 .6 3.2原始数据包捕获的关键函数.7 4网络流量监控系统各模块的设计与实现.9 4.1开发背景介绍.9 4.2总体结构设计.9 4.3流程图设计.10 4.4各模块功能概述与实现.11 4.4.1数据包采集中各类的关系.11 4.4.2数据包捕获与分析模块.11 4.4.3流量获取模块.13 4.4.4数据统计模块.17 4.4.5常见攻击分析功能.18 5系统测试.19 5
9、.1测试环境.19 5.1.1硬件环境.19 5.1.2操作系统及软件运行环境.19 5.2测试步骤.19 5.3测试结果评价.19 结 论.19 参考文献.20 致 谢.21 声 明.22 1 1 引言引言 1.11.1 课题背景课题背景 随着构建网络基础技术和网络应用的迅速发展以及用户对网络性能要求的 提高,使得网络管理成为迫切需要解决的问题,有效的网络管理能够保证网络 的稳定运行和持续发展,更重要的是,随着网络规模的扩大和黑客技术的发展, 入侵和攻击的案例日益增多,对稳定的网络服务、信息安全、互联网秩序都提 出了严峻的挑战,网络安全管理在整个网络管理系统里扮演起更为重要的角色。 1.21
10、.2 网络安全管理的现状与需求网络安全管理的现状与需求 目前,在网络应用不断深入和技术频繁升级的同时,非法访问、恶意攻击 等安全威胁也在不断推陈出新,愈演愈烈。防火墙、vpn、ids、防病毒、身份 认证、数据加密、安全审计等安全防护和管理系统在网络中得到了广泛应用。 从网络安全专业管理人员的角度来说,最直接的需求就是根据分类在统一的界 面中监视网络中各种运行性能状态,获取相关数据信息、日志信息和报警信息 等,并进行分类汇总、分析和审计;同时完成攻击事件报警、响应等功能。因 此,用户的网络管理需要不断健全整体网络安全管理解决方案,从统一安全管 理平台总体调控配置到多层面、分布式的安全系统,实现对
11、各种网络安全资源 的集中监控、策略管理、审计及多种安全功能模块之间的互动,从而有效简化 网络安全管理工作,提升网络的安全水平和可用性、可控制性、可管理性。 1.31.3 网络流量监控的引入网络流量监控的引入 网络安全管理体系中,流量监控和统计分析是整个管理的基础。 流量检测主要目的是通过对网络数据进行实时连续的采集监测网络流量, 对获得的流量数据进行统计计算,从而得到网络主要成分的性能指标。网络管 理员根据流量数据就可以对网络主要成分进行性能分析管理,发现性能变化趋 势,并分析出影响网络性能的因素及问题所在。此外,在网络流量异常的情况 下,通过扩展的流量检测报警系统还可以向管理人员报警,及时发
12、现故障加以 处理。在网络流量检测的基础上,管理员还可对感兴趣的网络管理对象设置审 查值范围及配置网络性能对象,监控实时轮询网络获取定义对象的当前值,若 超出审查值的正常预定值则报警,协助管理员发现网络瓶颈,这样就能实现一 定程度上的故障管理。而网络流量检测本身也涉及到安全管理方面的内容。 由此可见,对于一个有效的网络安全管理系统来说,功能的实现都或多或 少的依赖于流量信息的获取。因此网络流量信息的采集可以说是网络安全管理 系统得以实现的核心基石。它的应用可以在一定程度上检测到入侵攻击,可以 有效地帮助管理人员进行网络性能管理,并利用报警机制协助网管人员采取对 应的安全策略与防护措施,从而减少入
13、侵攻击所造成的损失。 1.41.4 本本文的目的与任务文的目的与任务 该网络流量监控及分析工具主要用途是通过实时连续地采集网络数据并对 其进行统计,得到主要成分性能指标,结合网络流量的理论,通过统计出的性 能指数观察网络状态,分析出网络变化趋势,找出影响网络性能的因素。 本设计题目是教师自拟项目,前期任务主要是设计并完成系统的初步框架, 实现网络数据的捕获,并解决相应问题,后期主要是通过一些 api 函数完成对 各类数据信息的统计。 本系统实现以下功能: (1)采用 winsock 编写原始套接字 socket-raw 对数据包进行采集捕获, 并可实现分类及自定义范围进行捕获; (2)对捕获的
14、数据包进行一定的解析; (3)访问操作系统提供的网络性能参数接口,得到网卡总流量、输入流量 和输出流量; (4)系统提供了多种方式显示结果,如曲线图、列表等; (5)使用 ip 帮助 api 获取网络统计信息; (6)实现对部分常见威胁的预警,可继续开发扩展其报警功能。 1.51.5 论文结构安排论文结构安排 本论文围绕 winsock 标准套接字网络编程的各项实践内容展开。具体内容 安排如下:第一章是引言,简要介绍开发背景、设计任务和论文结构安排;第 二章介绍网络基础理论研究、数据包捕获与流量检测的技术原理;第三章介绍 如何使用原始套接字实现数据捕获;第四章重点介绍网络流量监测工具的设计 与
15、实现过程,并且详细阐述了从系统功能总体设计、详细设计、具体实现的全 部过程;第五章介绍了软件测试情况。 2 2 相关的概念与技术相关的概念与技术 2.12.1 osiosi 参考模型与参考模型与 tcp/iptcp/ip 体系结构体系结构 .1 osiosi 参考模型参考模型 开放系统互联参考模型 osi 是由国际标准化组织 iso 制定的标准化开放式 的计算机网络层次结构模型,其结构如图 1 所示。 可以看出,该结构共有七层,各层主要实现如下功能: (1)物理层,利用传输介质实现相邻节点间的物理连接,主要对机械、电 气、功能和规程四个方面及信号传输速率方面进行规定; (2)数
16、据链路层,完成管理数据的传输,提供差错检测和恢复,并且提供 流量控制,最终实现向上一层提供无差错、高可靠性的传输链路; (3)网络层,执行路由算法和流量控制算法,完成数据分组传输,它是通 信子网的最高层; (4)传输层,提供端到端的无差错传输,同时,它也提供属于局通信网络 接口,比如 socket; (5)会话层,完成用户之间会话的组织、协调、分配用户名等; (6)表示层,解决数据格式问题,规定编码方式; (7)应用层,osi 的最高层,利用应用进程提供网络访问手段。 .2 tcp/iptcp/ip 体系结构体系结构 由于 tcp/ip 比其之前的 osi 模型更具体实现,随着
17、互联网的不断发展,遵 循 tcp/ip 结构的网络不断普及,因此现在通常采用 tcp/ip 代表 internet 体系 结构。tcp/ip 的目的是在网络标准不同的情况下解决互联问题,可以说,网络 互联是 tcp/ip 的核心。tcp/ip 的体系结构如图 2 所示。 图 2 osi 参考模型与 tcp/ip 结构 图 1 osi 参考模型 tcp/ip 在设计时重点并没有放在具体通信的实现上,所以对最后两层没有 做出具体规定,同时表明它允许不同类型的通信网络参与通信。它的四个层次 功能如下。 (1)应用层,提供常用的应用程序及自定义的应用程序,数据传输时用 tcp/ip 协议来进行; (2
18、)传输层,提供端到端的应用程序之间的通信,可以使用传输控制协议 tcp(transmission control protocol)或用户数据报协议 udp(user datagram protocol)协议,前者提供可靠传输,传送单位是报文段,后者提供 不可靠服务,传输单位是数据报,即分组。此外,传输层另外一个功能就是区 别应用程序; (3)网际层,负责计算机之间的通信,采用的协议是 ip 协议,数据传送 单位是分组,向上提供不可靠的传输服务; (4)网络接口层,负责接收数据报,并实现发送,或者接收帧,提取 ip 数据报,交给互联网层。 .3 osiosi 模型与模型与 tc
19、p/iptcp/ip 体系结构的区别体系结构的区别 从前面的分析可以看出 osi 模型和 tcp/ip 体系有许多不同之处,主要体现 在问题的处理上面,例如: (1)tcp/ip 一开始就考虑的是异构网络的互联问题,并将 ip 看作是整个 体系的重要组成部分,而 iso 并没有认识到网际协议 ip 的重要性,导致最后只 能单独划分一个子层来完成 ip 的作用; (2)osi 最开始只注意到了面向连接的服务,而 tcp/ip 一开始就注意了 面向连接和无连接的并重。相比起来,tcp/ip 更注重了数据传输的效率,而 osi 则注重了传输的可靠性; (4)tcp/ip 虽然分层,但是调用关系并不像
20、 osi 那样严格,减少了不必 要的开销,提高了传输效率。 2.22.2 传输层的编程接口传输层的编程接口windowswindows 套接字编程技术套接字编程技术 .1 windowswindows 套接字的概念套接字的概念 windows 套接字socket,是为windows 系统开发的一套标准通用支持网络 协议数据通信的 api,它是网络通信的基础,即 tcp/ip 的网络编程接口,1994 年被定为网络编程标准后,主要经历了 winsock1.1 和winsock2.0 两种版本,它 产生最终目的是可以适应应用程序开发者、网络服务商的需求,进程通过套接 字的通信域来完
21、成通信。需要指出的是,套接字主要负责控制数据的输入与输 出,主要在传输层和网络层,屏蔽了数据链路层和物理层2。 .2 套接字类型套接字类型 根据通信性质把套接字主要分为流式套接字和数据报套接字两种。它们的 区别在于流式套接字提供双向、有序、无重复的数据流服务,但相对于数据报 套接字来说系统开销较大。数据报套接字也支持双向数据流,但并不注重传输 可靠性、无重复性和有序性,但它保留了记录边界,由于数据报传输效率较高, 所以还是得到了比较广泛的应用。 .3 涉及的几个基本概念涉及的几个基本概念 (1)字节顺序,不同的计算机采用不同的自己顺序存储数据,所以在这些 数据进
22、行通信时需要进行字节顺序的转换,所有传送给网络上套接字函数的 ip 地址和端口号均按照网络顺序安排,主要由 sockaddr_in 这个结构规范。特别 要注意的是,应用程序建立地址结构之前,用户输入需要将主机序列转换为网 络序列(使用 htons 函数,反之使用 ntohs 函数) 。 (2)阻塞与非阻塞,套接字有同步阻塞和异步非阻塞两种方法,阻塞模式 时,套接字需要等待操作全部完成才结束,而当套接字处于非阻塞模式时,套 接字以是否有新数据到达作为阻塞的标志。阻塞方式套接字简单、方便,但是 效率比较低,而非阻塞模式使用复杂点,但效率很高。但是仍需强调一点, winsock 提供了几种 i/o
23、模型来解决异步问题,如“选择” 、 “重叠” 、 “事件选 择” 、 “异步选择”等3。 2.32.3 原始套接字原始套接字 从用户的角度来看,标准的流式套接字和数据报套接字这两类套接字似乎 涵盖了 tcp/ip 应用的全部,因为基于 tcp/ip 的应用,从协议栈的层次(如图 3 所示)上讲,在传输层的确只可能建立于 tcp 或 udp 协议之上,而流式套接 字和数据报套接字又分别对应于 tcp 和 udp,所以几乎所有的应用都可以用这 两类套接字实现。但是,当需要自定义数据包发送时或者需要分析所有经过网 络的数据包的时候,就必须面临一种不同于前两者的方式raw socket,即原 始套接字
24、,程序员可以用它来发送和接收 ip 层以上的原始数据包, 如 icmp,tcp, udp 等,不仅这样,它还可以实现如伪装本地 ip、发送 icmp 包等 功能。 raw socket 广泛应用于高级网络编程,也是一种广泛的黑客手段。著名的 网络 sniffer、拒绝服务攻击(dos) 、ip 欺骗等都可以以 raw socket 实现。 raw socket 与标准套接字(sock_stream、sock_dgram)的区别在于前者直接 置根于操作系统网络核心(network core) ,而 sock_stream、sock_dgram 则 “悬浮”于 tcp 和 udp 协议的外围,如图
25、 4 所示。 3 3 网络数据的采集技术分析网络数据的采集技术分析 3.13.1 windowswindows 下原始数据包捕获的实现下原始数据包捕获的实现 网络上的数据包捕获机制主要依赖于所使用的操作系统,不同的操作系统 下有不同的实现途径。在 windows 环境下,可通过网络驱动程序接口规范 (ndis) ,winsock 的 sock_raw 或虚拟设备驱动技术(vxd)等技术实现网络数 据包的捕获功能。 图 4 标准套接与原始套接字的关系 图 3 协议栈层次 前面已经介绍到了,使用原始套接字可以绕过 socket 提供的功能,对底层 的协议进行使用与开发,可以根据自己的需要生成想要的
26、数据报文等,下面开 始介绍使用原始套接字对数据包捕获进行开发的相关技术知识。 第一,使用套接字前,需要了解网卡接收数据的工作原理: 在正常情况下,网络接口只响应两种数据帧,一种是与自己的硬件相匹配 的数据帧,另一种四向所有计算机广播的数据帧。在系统中,数据帧的收发由 网卡完成,网卡程序接收从网络发来的数据包,根据其硬件地址去判断是否与 本机的硬件地址匹配,若匹配就通知 cpu 产生中断进行响应,然后调用驱动程 序设置的网卡中断程序地址调用驱动程序接收数据,然后放入堆栈进行系统相 关处理,若不匹配则直接丢弃该数据包3。 对于网络接口,它一般具有 4 种数据接收模式:广播、组播、直接和混杂 模式,
27、只有当把接口设置为混杂模式时,网络接口才能接收所有的数据,无论 地址是否匹配,所以在做本设计的时候一定要设置为混杂模式才能实现数据的 采集。 第二,需要了解套接字的工作程序和使用方法: 一般来说,采用套接字开发网络程序需要经历以下几个基本步骤: 启动、创建、绑定、监听(接受连接) 、连接、发送/接收数据、关闭、卸 载等。 第三,具体到 windows 下利用原始套接字捕获网络数据可以这样设计: (1)启动套接字; (2)创建一个原始套接字; (3)将套接字与本地地址绑定; (4)设置操作参数; (5)设置网络接口为混杂模式; (6)启动监听线程,开始接收数据; (7)退出关闭套接字。 3.23
28、.2 原始数据包捕获的关键函数原始数据包捕获的关键函数 (1)启动函数 wsastartup int pascal far wsastartup (dword wversionrequested , lpwsadata lpwsadata); 每一个套接字应用程序都必须调用该函数进行一系列初始化工作,并且只 有调用成功返回后,才能开始使用套接字,其中参数 wversionrequested 是版 本号,高字节是次版本号、低字节是主版本号,参数 lpwsadata 是指向 wsadata 结构的指针。 (2)套接字创建函数 socket socket socket (int af , int t
29、ype , int protocol); 所有的通信在建立之前都必须创建一个套接字,socket 函数的功能就是创 建套接字,其中参数 af 指协议地址族(address family) ,当建立的套接字是 依赖于 udp 或 tcp 的话,需要设置 af 为 af_inet,表示采用 ip 协议。参数 type 是指协议的套接字类型,采用流式套接字时用 sock_stream,采用数据报套接 字时用 sock_dgram,采用原始套接字时用 sock_raw。参数 protocol 是协议字 段,默认情况下可直接设置为 0。 (3)绑定函数 bind int bind ( socket s
30、, struct sockaddr_in* name , int namelen); 成功创建套接字后的下一步工作就是将本地网络接口与套接字进行绑定, 其中参数 s 是创建的套接字,参数 name 是需要绑定的通信对象的信息结构体指 针,namelen 是该结构的长度。需要注意的是 sockaddr_in 结构: struct sockaddr_in short sin_family; /地址族,设置为 af_inet unsigned short sin_port; /指定的端口号 struct in_addr sin_addr; /ip 地址 char sin_zero8; ; 由于主机序
31、列与网络序列的关系,在程序中需要使用 htons 等函数进行转 换工作。 (4)设置接口模式函数 wsaioctl int wsaapi wsaioctl(socket s, dword dwiocontrolcode, lpvoid lpvinbuffer, dword cbinbuffer, lpvoid lpvoutbuffer, dword cboutbuffer, lpdword lpcbbytesreturned, lpwsaoverlapped lpoverlapped, lpwsaoverlapped_completion_routine lpcompletionroutine
32、); 其中,s 为一个套接口的句柄,dwiocontrolcode 为操作控制代码, lpvinbuffer 为输入缓冲区的地址,cbinbuffer 为输入缓冲区的大小, lpvoutbuffer 为输出缓冲区的地址, cboutbuffer 为输出缓冲区的大小,lpcbbytesreturned 为输出实际字节数 的地址,lpoverlapped 为 wsaoverlapped 结构的地址,lpcompletionroutine 为一个指向操作结束后调用的例程指针。 调用成功后,wsaioctl 函数返回 0,否则的话,将返回 invalid_socket 错误,应用程序可通过 wsage
33、tlasterror 来获取错误代码。 (5)数据接收函数 recv int recv (socket s , char* buf ,int len , int flags); 4 4 网络流量监控系统各模块的设计与实现网络流量监控系统各模块的设计与实现 4.14.1 开发背景介绍开发背景介绍 本设计开发平台采用 microsoft visualstudio6.0,它是目前使用比较广 泛的 winsock 开发平台,因此具有较强的适应性,能够在很多的操作系统平台 上运行,设计后具有直观的简洁的操作界面,稳定性也比较高。 4.24.2 总体结构设计总体结构设计 通过收集与分析简单网络流量监控软件
34、的用户需求,总结出以下特征: (1)需要实现对网络接口数据包的尽可能多的捕获,将网卡设置为混杂模 式,然后进行数据包的采集; (2)数据包的内容要进行一定的解析,对数据包的协议类型、源目地址、 数据包截获时间、数据包内容需要进行分析; (3)根据用户不同的要求能够依照特定地址范围、特定协议类型相关包等 条件进行自定义监视; (4)监视结果输出有实时流量图、列表等显示; (5)实现日志记录,便于日后分析; (6)对某些常见的攻击进行发现分析。 总合以上系统要求与综合分析,本系统总体设计如下,采用 vc+6.0 编写, 系统具有三个主要功能部分:数据捕获与显示模块、流量信息统计模块、流量 绘制模块
35、,如图 5 所示。 数据采集模块:完成网络接口数据的捕获、解析和显示,可以根据用户定 义条件组合来进行捕获,如只监视采用 tcp 或 udp 协议的数据包,也可以监视 图 5 系统总体设计结构图 流量监控分析系统 数据采集模块信息统计模块流量绘制模块 用户希望关注的相关 ip 地址的数据包,同时完成数据封包日志记录,提高了系 统的灵活性。同时,在对数据包的解析过程中对一些常见入侵攻击特征进行判 断,发出预警。该模块采用编写原始套接字开发。 信息统计模块:完成统计功能,如统计 ip 要实现统计接收到的数据报数量、 接收到的数据中协议出错的数量、正在请求传输的数量、路由表中可用路由数 量、丢弃的数
36、量、需要重组/成功重组的数量等,统计 icmp 需要完成发送/接收 的消息数量、满足超过 ttl 的数量、重定向数量、时间戳请求/应答数量等;采 用 ip 助手函数完成。 流量绘制模块:完成总流量、输入流量、输出流量、瞬时流量值、最高流 量值的显示;采用访问注册表网络性能数据完成有关数据的获取,通过流量图 显示。 4.34.3 流程图设计流程图设计 根据上面对各个功能模块的划分,进行更进一步的分析和设计,得到数据 采集、注册表网络性能块访问大致的工作流程图,如图 6 与图 7 所示。 图 6 数据捕获处理流程 4.44.4 各模块功能概述与实现各模块功能概述与实现 .1 数据包
37、采集中各类的关系数据包采集中各类的关系 经过上面的分析与设计,得到该系统的总体功能结构、工作流程,也确定 了从编写套接字到最后捕获数据,要经过创建、绑定、设置工作模式、启动线 程、接收数据等一系列的处理操作。为了实现处理中的每一步操作,设计了数 据捕获的类关系,如图 8 所示。 在上图中 csocksupport,csockhelper ,cpackinterdlg,cbindatadlg 等 是封装了各部分主要处理功能的类。且这些类中封装了和这些类的操作相关的 方法。将在后面对这些类的功能和实现进行详细介绍。 .2 数据包捕获与分析模块数据包捕获与分析模块 (1)功能实现说明
38、 该功能模块主要由封装的 csocksupport,csockhelper ,cpackinterdlg,cbindatadlg 四个类完成,下面将 对这些类进行详细说明。 csocksupport 类:主要负责检查 socket 是否支 持 2.0 版本,在该类中封装了 wsastartup 完成 socket 的启动; csockhelper 类:主要实现了从获取本机信息结 构、socket 创建、绑定、设置、启动线程、数据接收 到协议分析的全部方法,详细处理流程见图 9 所示。 图 7 网络性能数据块访问流程 图 8 数据包采集中各类的关系 getlocalip 实现获取本机地址操作的方
39、法,lphostent lphp 是定义一个主 机信息结构,获取过程由 gethostname(szlocname,max_hostname_lan)与 gethostbyname(szlocname)完成;第一个参数是用于 放置本机名称的缓冲,第二个参数是缓冲区长度,最 后利用 inet_ntoa 将 ip 地址转化为“.”式地址。 startcapture 方法完成套接字的创建、绑定、设置操作方式和启动线程; 具体完成如下: m_sockcap = socket(af_inet , sock_raw , ipproto_ip);/创建套接字 bind(m_sockcap, (psockad
40、dr)/绑定 setsockopt(m_sockcap, sol_socket, so_reuseaddr, (char*)/设置操作 setsockopt(m_sockcap, ipproto_ip, ip_hdrincl, (char*)/设置操作 wsaioctl(m_sockcap,sio_rcvall,/混杂模 式 m_hcapthread = createthread(null, 0, capturethread, this, 0, null);/启动线程 线程函数 capturethread 主要完成数据的接收。数据接收后,将缓冲区数 据转化为 ip 数据格式后即可以开始解析过程
41、,协议名称获取如下: for(int i=0; ih_lenver /中断进程 closehandle(m_hcapthread); /关闭句柄 m_hcapthread = null; if(m_sockcap) closesocket(m_sockcap); /关闭套接字 cbindatadlg 类主要完成对已捕获数据的存储和显示方法;cpackinterdlg 类通过建立 cbindatadlg 类和 csockhelper 类对象实现数据捕获、解析、显示、 存储等,同时它完成对捕获条件设置控件、日志记录控件的编写,在这里就不 做详细介绍了。 (2)界面设计(见图 10) 4.4.34.
42、4.3 流量获取模块流量获取模块 (1)设计说明 图 10 数据捕获模块界面 设计思路:实际编程时,windows 系统内提供了一个系统性能的接口,只 需要访问这个接口就可以得到网络性能相关的数据,如流量;根据这个想法, 设计出了本功能模块的子功能模块如下: 访问性能数据子模块:负责对注册表进行访问,获取流量数据; 显示子模块:负责将数据绘制在窗口中; 框架子模块:负责消息映射和消息处理; 本模块中,将使用到一个注册表访问函数 regqueryvalueex,它根据开放 的注册表键值与名字查找相关的类型和数据。它的函数原型如下: long regqueryvalueex(hkey hkey ,
43、 lpctstr lpvaluename , lpdword lpreserved , lpdword lptype , lpbyte lpdata , lpdword lpcbdata); 参数说明: hkey 为预定的注册表系统键值; lpvaluename 为需要查询的目标键值的名字; lpreserved 保留,但是必须为 null; lptype 为键值类型; lpdata 输入/输出接收键值的数据; lpcbdata 输入/输出接收键值的缓冲大小标志。 在 windowsnt 下,当调用 regqueryvalueex 时,若 hkey 被设置为 hkey_performance_
44、data 返回的数据并不是直接显示被请求的数据对象。所以 程序需要遍历整个数据块,数据块中的逻辑结构如图 11 所示。 参照图 4-6 可以很容易地确定性能数据块的查询过程,从数据块的性能数 据结构 perf_data_block 开始,然后索引到 perf_object_type 结构,而 perf_counter_definition 结构可以通过 perf_object_type 的成员 headerbytelength 找到位置偏移,每一个 perf_object_type 的成员 definitionlength 都能确定一个对应的 perf_instance_definition
45、结构, 图 11 注册表网络性能数据块逻辑结构 perf_instance_definition 结构决定着 perf_counter_block 结构3。 下面列出了获得网络接口流量的部分关键代码: /得到当前的接口名字 interfacename = interfaces.getat(pos); /开辟性能数据缓冲 unsigned char *data = new unsigned char default_buffer_size; /从 regqueryvalueex 返回的值:本例中忽略改变量 /从网络对象(索引是 510)查询性能数据 regqueryvalueex(hkey_pe
46、rformance_data, 510, null, 下面详细说明,注册表数据性能块访问过程的实现: /枚举链表中第一个对象 perf_object_type *objectptr = firstobject(datablockptr); /遍历链表 for(int a=0 ; anumobjecttypes ; a+) char namebuffer255; /判断是否是网络对象索引号是 510 if(objectptr-objectnametitleindex = 510) /偏移变量 dword processidoffset = ulong_max; /找到第一个计数器 perf_co
47、unter_definition *counterptr = firstcounter(objectptr); /遍历链表 for(int b=0 ; bnumcounters ; b+) /判断接收的数据类型是否是我们需要的 if(int)counterptr-counternametitleindex = currenttraffictype) processidoffset = counterptr-counteroffset; /下一个计数器 counterptr = nextcounter(counterptr); /数据类型不是我们需要的 if(processidoffset =
48、ulong_max) delete data; return 1; /找到第一个实例(instance) perf_instance_definition *instanceptr = firstinstance(objectptr); /遍历整个实例 for(b=0 ; bnuminstances ; b+) wchar_t *nameptr = (wchar_t *) (byte *)instanceptr + instanceptr-nameoffset); /得到这个实例的 perf_counter_block perf_counter_block *counterblockptr =
49、 getcounterblock(instanceptr); /现在得到了接口的名字 char *pname = widetomulti(nameptr, namebuffer, sizeof(namebuffer); position pos = totaltraffics.findindex(b); if(pos!=null) fulltraffic = *(dword *) (byte *)counterblockptr + processidoffset); totaltraffics.setat(pos,fulltraffic); /如果当前的接口就是我们选择的接口 if(inter
50、facename = iname) traffic = *(dword *) (byte *)counterblockptr + processidoffset); /判断处理的接口是否是新的 if(currentinterface != interfacenumber) lasttraffic = acttraffic; trafficdelta = 0.0; currentinterface = interfacenumber; else trafficdelta = acttraffic - lasttraffic; lasttraffic = acttraffic; delete da
51、ta; return(trafficdelta); /下一个实例 instanceptr = nextinstance(instanceptr); /下一个对象 objectptr = nextobject(objectptr); delete data; return 0; catch(.) return 0; (2)界面设计(见图 12) .4 数据统计模块数据统计模块 图 12 流量监视模块界面 (1)可以利用微软的 ip 助手中的 api 函数实现 ip 的统计,网络管理员通 过统计的数据可以在一定程度上发现网络性能瓶颈。涉及到的函数有 getudpstatistic,
52、gettcpstatistic,geticmpstatistic,getistatistic,需要 注意的是工程中要加载 iphelpapi.lib 库。函数调用结果通过列表可以直观显 示出来,网络管理人员可以通过其中统计数量的变化监视网络性能。 (2)界面设计(见图 13) .5 常见攻击分析功能常见攻击分析功能 本设计中对部分常见的攻击行为进行了分析,在类 csockhelper 中包解析 过程中加入了常见攻击行为数据包的判断和报警,比如 land、ping of death 等攻击,部分实现代码如下: if(pipheader-sourceip=pipheader-des
53、tip) pd=1; else if(pipheader-total_len65535) pd=2; switch(pd) 图 13 统计模块界面 case 1:afxmessagebox(数据包源目的地址相同,疑是 land 攻击); sprintf(slanderrip,请注意监控该 ip 的数据:%s,szsourceip); afxmessagebox(slanderrip);break; case 2: afxmessagebox(受到疑似 ping 拒绝服务攻击); sprintf(slanderrip,注意监控源 ip 的数据:%s,szsourceip); afxmessage
54、box(slanderrip);break; default:pd=0;break; 根据以后的开发需要,可设计更加丰富的规则对比库进行更多报警分析。 实现更为完善的攻击分析服务。 5 5 系统测试系统测试 5.15.1 测试环境测试环境 .1 硬件环境硬件环境 (1) 处理器 p4 2.0 g mhz 以上; (2) 内存 512m 以上; (3) 多台普通搭载网卡的 pc、经过路由器或交换机互联。 .2 操作系统及软件运行环境操作系统及软件运行环境 (1) 操作系统 win2000/nt 等; (2) vc+6.0。 5.25.2 测试步骤测试步骤 (1)
55、首先,用多台 pc 搭建局域网络。 (2) 其次,选定一台 pc 进行测试:数据包捕获(含设定条件) 、封包日志保 存、流量峰值、数据统计。 (3) 确定每个功能模块的测试要求。 (4) 对每个功能模块进行数据合法性检查、数据一致性检查。 (5) 进行各模块的功能测试后,对关键模块进行回归测试。 5.35.3 测试结果评价测试结果评价 本设计在 win2000/nt 环境试运行下,编码后经过多次测试并将发现的错误 及时修改,系统运行正常,基本达到设计目标,运行结果比较良好。 结结 论论 互联网的迅猛发展,流量检测和统计分析成为整个网络安全管理系统的基 础部分。网络管理员可以根据数据流量的变化规
56、律,发现网络故障与攻击行为, 及时采取措施,减少损失。 网络流量分析系统是一个比较复杂的系统,由于时间关系,本设计只完成 了大概框架,通过编写套接字、访问注册表等方法实现了部分主要功能,并没 有完全完成详细指标,比如只提供了局域网内流量实时监测、数据包解析、简 单统计等功能,这些都有待于进一步改进、深入与完善,下一步工作的重点将 是提供更多监控功能,对网络行为进行更深入的分析。 在整个设计过程中,重点放在了数据捕获与流量实时监控两个功能上,进 而描述了采用套接字开发流量监控系统中的思路和关键事项,阐述了开发过程 中碰到的一些技术问题,对功能需求与细节实现进行了详细分析与设计。 通过这次开发过程
57、,提高了我独立地分析、解决问题的能力,而且掌握了 从需求分析、整体设计、详细设计到代码实现的软件开发流程,使我对软件工 程中的理论有了更深入的认识。 参考文献参考文献 1 陈伯成,范闽,李英杰. 利用网络监听维护子网系统安全的一种方法j.计算机工程 与应用.2000,(10):133-135。 2 李凌. winsock 网络编程实用教程m. 北京:清华大学出版社,2003.11:9-35。 3 曹衍龙,刘海英. visual c+网络通信编程实用案例精选(第二版)m. 北京:人民 邮电出版社,2006.5:425-437。 4 孙贤淑. ip 网络流量测量的研究与应用d. 北京:北京邮电大学
58、硕士论文, 2005。 5 刘欣然. 支持高精度告警的网络入侵检测系统的设计与实现d. 北京:北京邮电大学 硕士论文, 2005。 6 许勇,吴忠堂. 网络流量采集与分析系统中数据采集的研究与实现d. 广州:华南理 工大学硕士论文, 2004。 7 ip 助手函数ol. http:/,2007-05-14。 致致 谢谢 本文是在秦智老师的热情关心和指导下完成的,他丰富的知识和严谨的治 学作风使我受益匪浅,对顺利完成本课题起到了极大的作用,特别是在网络编 程技术、网络数据包的分析、流量统计方法等方面得到了很大帮助。在此向他 表示我最衷心的感谢! 在论文完成过程中,本人在程序设计、网络编程调试方面
59、,还得到了金虎 老师和贺增杰等很多同学的热心帮助,本人向他们表示深深的谢意! 最后向在百忙之中评审本文的各位专家、老师表示衷心的感谢! 作者简介 姓 名: 冯跃 性别: 男 出生年月: 1983-12-13 民族: 汉 e-mail:fengyue- 声声 明明 本论文的工作是 2007 年 2 月至 2007 年 6 月在成都信息工程学院 网络工 程系 完成的。文中除了特别加以标注地方外,不包含他人已经发表或撰写过的 研究成果,也不包含为获得成都信息工程学院或其他教学机构的学位或证书而 使用过的材料。除非另有说明,本文的工作是原始性工作。 关于学位论文使用权和研究成果知识产权的说明: 本人完
60、全了解成都信息工程学院有关保管使用学位论文的规定,其中包括: (1)学校有权保管并向有关部门递交学位论文的原件与复印件。 (2)学校可以采用影印、缩印或其他复制方式保存学位论文。 (3)学校可以学术交流为目的复制、赠送和交换学位论文。 (4)学校可允许学位论文被查阅或借阅。 (5)学校可以公布学位论文的全部或部分内容(保密学位论文在解密后 遵守此规定) 。 除非另有科研合同和其他法律文书的制约,本论文的科研成果属于成都信息 工程学院。 特此声明! 作者签名: 2007 年 06 月 日 are you hungry now? no, i am tired and lazy now; if i
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 机房保温地面桥架施工方案
- 小流域植物措施施工方案
- 脱硫塔防腐施工方案
- 铁路放电施工方案
- 云南室外拼装地板施工方案
- 皖河大桥施工方案
- 英伦风格庭院施工方案
- 金华防滑路面彩色施工方案
- 旧楼楼顶防水改造施工方案
- 浙江单位停车棚施工方案
- 病理科医院感染控制
- 2024年电信综合部办公室主任年度述职报告(四篇合集)
- 购销合同电子版完整版
- 福建省福州市延安中学2023-2024学年八年级上学期期末物理模拟试卷+
- 2024年度医院肝胆外科实习生带教计划课件
- 微机原理与接口技术考试试题及答案(综合-必看)
- 劳务投标技术标
- 研发管理咨询项目建议书
- 转钱委托书授权书范本
- 一种配网高空作业智能安全带及预警系统的制作方法
- 某墓园物业管理日常管护投标方案
评论
0/150
提交评论