【文章內(nèi)容簡(jiǎn)介】 做出正確的應(yīng)對(duì)措 施。 IP 流量分析可以為網(wǎng)絡(luò)和應(yīng)用問(wèn)題的分析提供依據(jù)，特別是數(shù)據(jù)包級(jí)的分析，因?yàn)檫@些依據(jù)是真實(shí)的，它們是實(shí)實(shí)在在的在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，這也是流量分析能夠大大提高網(wǎng)絡(luò)和應(yīng)用問(wèn)題分析效率的原因。 IP 流量分析是有助于維護(hù)網(wǎng)絡(luò)持續(xù)、高效和安全運(yùn)行的一種手段， IP 流量分析有助于網(wǎng)絡(luò)管理員對(duì)網(wǎng)絡(luò)運(yùn)行管理、應(yīng)用運(yùn)行管理和網(wǎng)絡(luò)應(yīng)用問(wèn)題分析。 13 ……………………………裝……………………………………訂…………………………………線…………………………… 3. 系統(tǒng)總體設(shè)計(jì) 開(kāi)發(fā)設(shè)計(jì)思想 程序開(kāi)發(fā)設(shè)計(jì)思想有以下幾點(diǎn)： ，從而達(dá)到充分利用現(xiàn)有資源，提高程序開(kāi)發(fā)水平和應(yīng)用效果的 目的。 ，滿足他們工作的需要，并達(dá)到操作過(guò)程中的直觀、實(shí)用、方便、安全等要求。 統(tǒng)采用模塊化程序設(shè)計(jì)方法，既便于程序功能的各種組合和修改，又便于未參與開(kāi)發(fā)的技術(shù)人員對(duì)其功能的補(bǔ)充。 系統(tǒng)設(shè)計(jì) 在通常情況下，網(wǎng)絡(luò)通信的套接字程序只能響應(yīng)與自己硬件地址相匹配的或是以廣播形式發(fā)出的數(shù)據(jù)幀，對(duì)于其他形式的數(shù)據(jù)幀比如已到達(dá)網(wǎng)絡(luò)接口但卻不是發(fā)給此地址的數(shù)據(jù)幀，網(wǎng)絡(luò)接口在驗(yàn)證投遞地址并非是自身地址之后將不引起響應(yīng)，也就是說(shuō)應(yīng)用程序無(wú)法收取與自己無(wú)關(guān)的的數(shù)據(jù)包。所以我們要 想截獲流經(jīng)網(wǎng)絡(luò)設(shè)備的所有數(shù)據(jù)包，就要采取一點(diǎn)特別的手段了：將網(wǎng)卡設(shè)置為混雜模式。這樣，該主機(jī)的網(wǎng)卡就可以捕獲到所有流經(jīng)其網(wǎng)卡的數(shù)據(jù)包和幀。但是要注意一點(diǎn)，這種截獲僅僅是數(shù)據(jù)包的一份拷貝，而不能對(duì)其進(jìn)行截?cái)唷? 首先初始化環(huán)境，再創(chuàng)建原始 socket將 其初始化；然后獲得本地地址，把原始 socket綁定到本地網(wǎng)卡，再設(shè)置 sock_raw為 SIO_RCVALL,以便接收所有的 IP包；最后監(jiān)聽(tīng)網(wǎng)卡捕獲 IP包，把捕獲到的包加入鏈表，在達(dá)到預(yù)定時(shí)間時(shí)退出監(jiān)聽(tīng)并輸出統(tǒng)計(jì)信息。用命令提示符輸入程序所在位置并且加系統(tǒng)總體設(shè)計(jì) 上程序運(yùn)行時(shí)間 程序才能運(yùn)行。 程序使用命令行運(yùn)行： DURATIONTIME。 程序結(jié)構(gòu)設(shè)計(jì) 在 main方法中首先判斷命令行輸入的參數(shù)格式是否合乎要求，然后將獲取的時(shí)間長(zhǎng)度的字符串轉(zhuǎn)化為整型的，然后依靠系統(tǒng)時(shí)間進(jìn)行判斷程序執(zhí)行時(shí)間是否已經(jīng)滿足要求。 如果滿足要求則進(jìn)行原始套接字和獲取本機(jī) IP等操作為程序能夠讀取網(wǎng)卡接收的信息做準(zhǔn)備，最后要把網(wǎng)卡設(shè)置為混雜模式以便使網(wǎng)卡能夠接收進(jìn)入所有經(jīng)過(guò)此網(wǎng)卡的數(shù)據(jù)包。 混雜模式（ Promiscuous Mode）是指一臺(tái)機(jī)器能夠接收所有經(jīng)過(guò)它的數(shù)據(jù)流，而 不論其目的地址是否是它。這被網(wǎng)絡(luò)管理員使用來(lái)診斷網(wǎng)絡(luò)問(wèn)題，但是也被無(wú)認(rèn)證的想偷聽(tīng)網(wǎng)絡(luò)通信（其可能包括密碼和其它敏感的信息）的人利用。混雜模式就是接收所有經(jīng)過(guò)網(wǎng)卡的數(shù)據(jù)包，包括不是發(fā)給本機(jī)的包。默認(rèn)情況下網(wǎng)卡只把發(fā)給本機(jī)的包（包括廣播包）傳遞給上層程序，其它的包一律丟棄。簡(jiǎn)單的講 ,混雜模式就是指網(wǎng)卡能接受所有通過(guò)它的數(shù)據(jù)流，不管是什么格式，什么地址的。具體的地址轉(zhuǎn)發(fā)則是在接受到數(shù)據(jù)后由 MAC 層來(lái)進(jìn)行。 在程序執(zhí)行過(guò)程中時(shí)刻監(jiān)視系統(tǒng)時(shí)間以便時(shí)間滿足要求后能及時(shí)退出，將捕捉到的數(shù)據(jù)包的頭文件的內(nèi)容加入鏈表中，同時(shí) 將相應(yīng)的信息輸出到屏幕，此鏈表再追加的時(shí)候可以自行作出判斷，如果之前捕捉到的相同源目的地址和協(xié)議類型的數(shù)據(jù)包則不添加新的結(jié)點(diǎn)而是把原來(lái)的計(jì)數(shù)器加一，在執(zhí)行時(shí)間滿足之后退出循環(huán)，將鏈表中的信息輸出作為這段時(shí)間里的捕捉到的數(shù)據(jù)包的統(tǒng)計(jì)信息。設(shè)計(jì)結(jié)構(gòu)圖如 所示。 15 ……………………………裝……………………………………訂…………………………………線…………………………… 數(shù) 據(jù) 包 源 地 址 目 的 地 址 協(xié) 議 類 型 長(zhǎng) 度 版 本 生 存 時(shí) 間 流 量 分 析 數(shù) 據(jù) 長(zhǎng) 度 數(shù) 據(jù) 包 數(shù) 量 數(shù) 據(jù) 交 換 時(shí) 間 發(fā) 送 數(shù) 量 接 受 數(shù) 量 具 體 協(xié) 議 I P 包 流 量 分 析 圖 鏈表是一種物理存儲(chǔ)單元上非連續(xù)、非順序的存儲(chǔ)結(jié)構(gòu)，數(shù)據(jù)元素的邏輯順序是通過(guò)鏈表中的指針鏈接次序?qū)崿F(xiàn)的 [6]。鏈表由一系列結(jié)點(diǎn)（鏈表中每一個(gè)元素稱為結(jié)點(diǎn)）組成， 結(jié)點(diǎn)可以在運(yùn)行時(shí)動(dòng)態(tài)生成。每個(gè)結(jié)點(diǎn)包括兩個(gè)部分：一個(gè)是存儲(chǔ)數(shù)據(jù)元素的數(shù)據(jù)域，另一個(gè)是存儲(chǔ)下一個(gè)結(jié)點(diǎn)地址的指針域。鏈表 存儲(chǔ)的特點(diǎn)是用一組任意的存儲(chǔ)單元存儲(chǔ)數(shù)據(jù)元素（這組存儲(chǔ)單元可以是連續(xù)的，也可以是不連續(xù)的）。因此，為了表示每個(gè)數(shù)據(jù)元素與其直接后繼數(shù)據(jù)元素之間的邏輯關(guān)系，對(duì)數(shù)據(jù)元素來(lái)說(shuō)，除了存儲(chǔ)其本身的信息之外，還需存儲(chǔ)一個(gè)指示其直接后繼的信息 相比于線性表順序結(jié)構(gòu)，鏈表比較方便插入和刪除操作。 首先要做的便是定義鏈表的內(nèi)容，如圖 所示。 系統(tǒng)總體設(shè)計(jì) 協(xié) 議 類 型 下 一 行 指 針 表 頭 指 針 本 地 主 機(jī) I P 目 的 主 機(jī) I P 計(jì) 數(shù) i p N o d e 表 尾 指 針 圖 統(tǒng)計(jì)模塊設(shè)計(jì) 輸出統(tǒng)計(jì)的 IP 數(shù)據(jù)包信息 , 列出源地址、目的地址、不同協(xié)議類型的IP 包數(shù)量。結(jié)構(gòu)圖如圖 所示。 i p N o d e 目 的 地 址 協(xié) 議 類 型 數(shù) 據(jù) 包 數(shù) 量 源 地 址 圖 鏈表統(tǒng)計(jì)圖 17 ……………………………裝……………………………………訂…………………………………線…………………………… 程序功能設(shè)計(jì) 程序功能設(shè)計(jì)采取模塊化設(shè)計(jì)的方法，在上一節(jié)介紹了鏈表的結(jié)構(gòu)化設(shè)計(jì)，至于存儲(chǔ)的細(xì)節(jié)在這就不做過(guò)多的敘述。下面重點(diǎn)描述一下 IP 數(shù)據(jù)包捕獲功能示意圖和程序運(yùn)行功能示意圖。 本設(shè)計(jì)重點(diǎn)的任務(wù)就是對(duì)本地計(jì)算機(jī)進(jìn)行監(jiān)控，把網(wǎng)卡 設(shè)置為混雜模式以此來(lái)捕獲流經(jīng)網(wǎng)卡的全部數(shù)據(jù)包信息， 加上一些輔助的本地信息查詢，顯示得到當(dāng)前計(jì)算機(jī)的基本信息，達(dá)到功能簡(jiǎn)潔方便，消耗資源少而又不影響其他程序運(yùn)行的需求。 在我們的個(gè)人計(jì)算機(jī)上，網(wǎng)卡是比較容易被忽略的，它是個(gè)人用戶與互聯(lián)網(wǎng)連接的關(guān)鍵所在，而且它也有流量的出入，因?yàn)榫W(wǎng)絡(luò)上的信息流量是通過(guò)計(jì)算機(jī)的網(wǎng)卡轉(zhuǎn)換把網(wǎng)上的信息呈現(xiàn)在我們眼前。我們往往都是關(guān)注網(wǎng)絡(luò)流量，但是網(wǎng)卡同樣要引起網(wǎng)絡(luò)管理人員的重視。小事物往往有著大作用，通過(guò)對(duì)網(wǎng)卡流量的監(jiān)測(cè)與分析，比如說(shuō)：普通用戶的下載速率肯定是比上傳速率大很多，當(dāng)惡意程 序連接網(wǎng)絡(luò)時(shí)，上傳速率卻大大大超過(guò)下載的速率，此時(shí)網(wǎng)絡(luò)管理人員就該注意是否存在不正常的網(wǎng)絡(luò)連接。 通過(guò)對(duì) IP 數(shù)據(jù)包的捕獲，我們可以得到如下信息：源地址、目的地址、IP 包版本及生存時(shí)間、數(shù)據(jù)包類型及長(zhǎng)度等。對(duì)于網(wǎng)絡(luò)管理人員來(lái)說(shuō)，從這些信息中就可以了解到與本機(jī)發(fā)生數(shù)據(jù)交換的計(jì)算機(jī)相關(guān)信息，知曉當(dāng)?shù)鼐W(wǎng)絡(luò)通信的實(shí)時(shí)狀況。面對(duì)如此多的數(shù)據(jù)報(bào)信息，如果是一位有足夠網(wǎng)絡(luò)經(jīng)驗(yàn)的管理人員，就可以從細(xì)枝末節(jié)處察覺(jué)出是否存在潛在的網(wǎng)絡(luò)問(wèn)題，這對(duì)于網(wǎng)絡(luò)的通暢和安全是非常重要的。 來(lái)自網(wǎng)絡(luò)的安全威脅是實(shí)際存在的，特別是在網(wǎng)絡(luò)上運(yùn)行關(guān)鍵 業(yè)務(wù)時(shí)，網(wǎng)絡(luò)安全是首先要解決的問(wèn)題 ，為此，對(duì) IP 包流量分析就要深入了解。 對(duì)于 IP 包捕獲的過(guò)程如圖 所示。 系統(tǒng)總體設(shè)計(jì) I P 包 捕 獲 過(guò) 程 開(kāi) 始 捕 獲 數(shù) 據(jù) 包 源 地 址 目 的 地 址 協(xié) 議 類 型 長(zhǎng) 度 版 本 生 存 時(shí) 間 首 部 長(zhǎng) 度 捕 獲 統(tǒng) 計(jì) 結(jié) 果 捕 獲 結(jié) 束 圖 IP包的捕獲 通過(guò)對(duì) IP 數(shù)據(jù)包的分析，我們可以從中得知 IP 數(shù)據(jù)包捕獲的相關(guān)信息，包括捕獲時(shí)間、 IP 地址信息、協(xié)議類型及數(shù)據(jù)包相關(guān)信息。這些信息是我們進(jìn)行數(shù)據(jù)包分析所必需的，在了解了這些信息后，就可以從容的面對(duì)網(wǎng)絡(luò)實(shí)際運(yùn)行狀況。 程序的執(zhí)行首先要進(jìn)行 winsock 的初始化，初始化后 ,必須建立一個(gè)SOCKET 結(jié)構(gòu)來(lái)保存 SOCKET 句柄，設(shè)置網(wǎng)卡混雜模式進(jìn)行數(shù)據(jù)包接受并輸出顯示內(nèi)容。主 程序運(yùn)行結(jié)構(gòu)圖如圖 所示。 19 ……………………………裝……………………………………訂…………………………………線…………………………… main 命 令 行 參 數(shù) 設(shè) 置 初 始 化 Winsock 獲 取 本 機(jī) 名獲 取 本 地 IP地 址 填 充 sockaddr_in結(jié)構(gòu) socket綁 定 到 網(wǎng) 卡 網(wǎng) 卡 設(shè) 置 混 雜 模 式 設(shè) 置 緩 沖 區(qū) 接 受 數(shù) 據(jù) 包 輸 出 顯 示 內(nèi) 容 圖 主程序結(jié)構(gòu)圖 系統(tǒng)設(shè)計(jì)中的重點(diǎn)及難點(diǎn) 重點(diǎn)是要掌握網(wǎng)絡(luò)傳輸?shù)脑砗头绞?，比較困難的地方是關(guān)于如何捕捉數(shù)據(jù)包頭文件，如何分析頭文件的信息獲取數(shù)據(jù)傳輸?shù)姆绞胶驮吹刂纺肯到y(tǒng)總體設(shè)計(jì) 標(biāo)地址等信息，以及通過(guò)建立鏈表存儲(chǔ)并且統(tǒng)計(jì)數(shù)據(jù)包的個(gè)數(shù)和信息。具體問(wèn)題及措施如下： 解決辦法：把每一個(gè)數(shù)據(jù)包放入足夠大的緩沖區(qū)，然后根據(jù)緩沖區(qū)的地址取出數(shù)據(jù)包的包頭。 統(tǒng)計(jì) 解決辦法：用一個(gè)名為 AddNode 的函數(shù)實(shí)現(xiàn)這個(gè)功能，在統(tǒng)計(jì)的過(guò)程中把捕捉到的數(shù)據(jù)包中的源地址和目的地址輸出在屏幕上，然后往鏈表中加入，在往鏈表中加入的時(shí)候判斷一下如果是相同性質(zhì)的（相同的目的、源地址和協(xié)議類型），就把原來(lái)的節(jié)點(diǎn)中的 num 計(jì)數(shù)器加 1，如果不是則將其加入鏈表。 解決辦法：設(shè)置一個(gè)條件為 true的 while循環(huán)，在程序開(kāi)始執(zhí)行的時(shí)候獲取當(dāng)時(shí)的時(shí)間 start，在 while循環(huán)中獲取當(dāng)時(shí)的時(shí)間 end然后用endstart來(lái)判斷時(shí)間是否超出，如果超出則執(zhí)行 break跳出 while循環(huán)，不再捕捉數(shù)據(jù)包。 21 ……………………………裝……………………………………訂…………………………………線…………………………… 4. 系統(tǒng)詳細(xì)設(shè)計(jì)與實(shí)施 Winsock 服務(wù)的初始化 WSAStarup是 Windows SocKNDs Asynchronous的啟動(dòng)命令、 Windows下的網(wǎng)絡(luò)編程接口軟件 Winsock1 或 Winsock2 里面的一個(gè)命令 。 為了在應(yīng)用程序當(dāng)中調(diào)用任何一個(gè) Winsock API函數(shù)，首先第一件事情就是必須通過(guò)WSAStartup函數(shù)完成對(duì) Winsock服務(wù)的初始化，因此需要調(diào)用 WSASta