【文章內容簡介】 做出正確的應對措 施。 IP 流量分析可以為網(wǎng)絡和應用問題的分析提供依據(jù)，特別是數(shù)據(jù)包級的分析，因為這些依據(jù)是真實的，它們是實實在在的在網(wǎng)絡中傳輸?shù)臄?shù)據(jù)包，這也是流量分析能夠大大提高網(wǎng)絡和應用問題分析效率的原因。 IP 流量分析是有助于維護網(wǎng)絡持續(xù)、高效和安全運行的一種手段， IP 流量分析有助于網(wǎng)絡管理員對網(wǎng)絡運行管理、應用運行管理和網(wǎng)絡應用問題分析。 13 ……………………………裝……………………………………訂…………………………………線…………………………… 3. 系統(tǒng)總體設計 開發(fā)設計思想 程序開發(fā)設計思想有以下幾點： ，從而達到充分利用現(xiàn)有資源，提高程序開發(fā)水平和應用效果的 目的。 ，滿足他們工作的需要，并達到操作過程中的直觀、實用、方便、安全等要求。 統(tǒng)采用模塊化程序設計方法，既便于程序功能的各種組合和修改，又便于未參與開發(fā)的技術人員對其功能的補充。 系統(tǒng)設計 在通常情況下，網(wǎng)絡通信的套接字程序只能響應與自己硬件地址相匹配的或是以廣播形式發(fā)出的數(shù)據(jù)幀，對于其他形式的數(shù)據(jù)幀比如已到達網(wǎng)絡接口但卻不是發(fā)給此地址的數(shù)據(jù)幀，網(wǎng)絡接口在驗證投遞地址并非是自身地址之后將不引起響應，也就是說應用程序無法收取與自己無關的的數(shù)據(jù)包。所以我們要 想截獲流經(jīng)網(wǎng)絡設備的所有數(shù)據(jù)包，就要采取一點特別的手段了：將網(wǎng)卡設置為混雜模式。這樣，該主機的網(wǎng)卡就可以捕獲到所有流經(jīng)其網(wǎng)卡的數(shù)據(jù)包和幀。但是要注意一點，這種截獲僅僅是數(shù)據(jù)包的一份拷貝，而不能對其進行截斷。 首先初始化環(huán)境，再創(chuàng)建原始 socket將 其初始化；然后獲得本地地址，把原始 socket綁定到本地網(wǎng)卡，再設置 sock_raw為 SIO_RCVALL,以便接收所有的 IP包；最后監(jiān)聽網(wǎng)卡捕獲 IP包，把捕獲到的包加入鏈表，在達到預定時間時退出監(jiān)聽并輸出統(tǒng)計信息。用命令提示符輸入程序所在位置并且加系統(tǒng)總體設計 上程序運行時間 程序才能運行。 程序使用命令行運行： DURATIONTIME。 程序結構設計 在 main方法中首先判斷命令行輸入的參數(shù)格式是否合乎要求，然后將獲取的時間長度的字符串轉化為整型的，然后依靠系統(tǒng)時間進行判斷程序執(zhí)行時間是否已經(jīng)滿足要求。 如果滿足要求則進行原始套接字和獲取本機 IP等操作為程序能夠讀取網(wǎng)卡接收的信息做準備，最后要把網(wǎng)卡設置為混雜模式以便使網(wǎng)卡能夠接收進入所有經(jīng)過此網(wǎng)卡的數(shù)據(jù)包。 混雜模式（ Promiscuous Mode）是指一臺機器能夠接收所有經(jīng)過它的數(shù)據(jù)流，而 不論其目的地址是否是它。這被網(wǎng)絡管理員使用來診斷網(wǎng)絡問題，但是也被無認證的想偷聽網(wǎng)絡通信（其可能包括密碼和其它敏感的信息）的人利用?；祀s模式就是接收所有經(jīng)過網(wǎng)卡的數(shù)據(jù)包，包括不是發(fā)給本機的包。默認情況下網(wǎng)卡只把發(fā)給本機的包（包括廣播包）傳遞給上層程序，其它的包一律丟棄。簡單的講 ,混雜模式就是指網(wǎng)卡能接受所有通過它的數(shù)據(jù)流，不管是什么格式，什么地址的。具體的地址轉發(fā)則是在接受到數(shù)據(jù)后由 MAC 層來進行。 在程序執(zhí)行過程中時刻監(jiān)視系統(tǒng)時間以便時間滿足要求后能及時退出，將捕捉到的數(shù)據(jù)包的頭文件的內容加入鏈表中，同時 將相應的信息輸出到屏幕，此鏈表再追加的時候可以自行作出判斷，如果之前捕捉到的相同源目的地址和協(xié)議類型的數(shù)據(jù)包則不添加新的結點而是把原來的計數(shù)器加一，在執(zhí)行時間滿足之后退出循環(huán)，將鏈表中的信息輸出作為這段時間里的捕捉到的數(shù)據(jù)包的統(tǒng)計信息。設計結構圖如 所示。 15 ……………………………裝……………………………………訂…………………………………線…………………………… 數(shù) 據(jù) 包 源 地 址 目 的 地 址 協(xié) 議 類 型 長 度 版 本 生 存 時 間 流 量 分 析 數(shù) 據(jù) 長 度 數(shù) 據(jù) 包 數(shù) 量 數(shù) 據(jù) 交 換 時 間 發(fā) 送 數(shù) 量 接 受 數(shù) 量 具 體 協(xié) 議 I P 包 流 量 分 析 圖 鏈表是一種物理存儲單元上非連續(xù)、非順序的存儲結構，數(shù)據(jù)元素的邏輯順序是通過鏈表中的指針鏈接次序實現(xiàn)的 [6]。鏈表由一系列結點（鏈表中每一個元素稱為結點）組成， 結點可以在運行時動態(tài)生成。每個結點包括兩個部分：一個是存儲數(shù)據(jù)元素的數(shù)據(jù)域，另一個是存儲下一個結點地址的指針域。鏈表 存儲的特點是用一組任意的存儲單元存儲數(shù)據(jù)元素（這組存儲單元可以是連續(xù)的，也可以是不連續(xù)的）。因此，為了表示每個數(shù)據(jù)元素與其直接后繼數(shù)據(jù)元素之間的邏輯關系，對數(shù)據(jù)元素來說，除了存儲其本身的信息之外，還需存儲一個指示其直接后繼的信息 相比于線性表順序結構，鏈表比較方便插入和刪除操作。 首先要做的便是定義鏈表的內容，如圖 所示。 系統(tǒng)總體設計 協(xié) 議 類 型 下 一 行 指 針 表 頭 指 針 本 地 主 機 I P 目 的 主 機 I P 計 數(shù) i p N o d e 表 尾 指 針 圖 統(tǒng)計模塊設計 輸出統(tǒng)計的 IP 數(shù)據(jù)包信息 , 列出源地址、目的地址、不同協(xié)議類型的IP 包數(shù)量。結構圖如圖 所示。 i p N o d e 目 的 地 址 協(xié) 議 類 型 數(shù) 據(jù) 包 數(shù) 量 源 地 址 圖 鏈表統(tǒng)計圖 17 ……………………………裝……………………………………訂…………………………………線…………………………… 程序功能設計 程序功能設計采取模塊化設計的方法，在上一節(jié)介紹了鏈表的結構化設計，至于存儲的細節(jié)在這就不做過多的敘述。下面重點描述一下 IP 數(shù)據(jù)包捕獲功能示意圖和程序運行功能示意圖。 本設計重點的任務就是對本地計算機進行監(jiān)控，把網(wǎng)卡 設置為混雜模式以此來捕獲流經(jīng)網(wǎng)卡的全部數(shù)據(jù)包信息， 加上一些輔助的本地信息查詢，顯示得到當前計算機的基本信息，達到功能簡潔方便，消耗資源少而又不影響其他程序運行的需求。 在我們的個人計算機上，網(wǎng)卡是比較容易被忽略的，它是個人用戶與互聯(lián)網(wǎng)連接的關鍵所在，而且它也有流量的出入，因為網(wǎng)絡上的信息流量是通過計算機的網(wǎng)卡轉換把網(wǎng)上的信息呈現(xiàn)在我們眼前。我們往往都是關注網(wǎng)絡流量，但是網(wǎng)卡同樣要引起網(wǎng)絡管理人員的重視。小事物往往有著大作用，通過對網(wǎng)卡流量的監(jiān)測與分析，比如說：普通用戶的下載速率肯定是比上傳速率大很多，當惡意程 序連接網(wǎng)絡時，上傳速率卻大大大超過下載的速率，此時網(wǎng)絡管理人員就該注意是否存在不正常的網(wǎng)絡連接。 通過對 IP 數(shù)據(jù)包的捕獲，我們可以得到如下信息：源地址、目的地址、IP 包版本及生存時間、數(shù)據(jù)包類型及長度等。對于網(wǎng)絡管理人員來說，從這些信息中就可以了解到與本機發(fā)生數(shù)據(jù)交換的計算機相關信息，知曉當?shù)鼐W(wǎng)絡通信的實時狀況。面對如此多的數(shù)據(jù)報信息，如果是一位有足夠網(wǎng)絡經(jīng)驗的管理人員，就可以從細枝末節(jié)處察覺出是否存在潛在的網(wǎng)絡問題，這對于網(wǎng)絡的通暢和安全是非常重要的。 來自網(wǎng)絡的安全威脅是實際存在的，特別是在網(wǎng)絡上運行關鍵 業(yè)務時，網(wǎng)絡安全是首先要解決的問題 ，為此，對 IP 包流量分析就要深入了解。 對于 IP 包捕獲的過程如圖 所示。 系統(tǒng)總體設計 I P 包 捕 獲 過 程 開 始 捕 獲 數(shù) 據(jù) 包 源 地 址 目 的 地 址 協(xié) 議 類 型 長 度 版 本 生 存 時 間 首 部 長 度 捕 獲 統(tǒng) 計 結 果 捕 獲 結 束 圖 IP包的捕獲 通過對 IP 數(shù)據(jù)包的分析，我們可以從中得知 IP 數(shù)據(jù)包捕獲的相關信息，包括捕獲時間、 IP 地址信息、協(xié)議類型及數(shù)據(jù)包相關信息。這些信息是我們進行數(shù)據(jù)包分析所必需的，在了解了這些信息后，就可以從容的面對網(wǎng)絡實際運行狀況。 程序的執(zhí)行首先要進行 winsock 的初始化，初始化后 ,必須建立一個SOCKET 結構來保存 SOCKET 句柄，設置網(wǎng)卡混雜模式進行數(shù)據(jù)包接受并輸出顯示內容。主 程序運行結構圖如圖 所示。 19 ……………………………裝……………………………………訂…………………………………線…………………………… main 命 令 行 參 數(shù) 設 置 初 始 化 Winsock 獲 取 本 機 名獲 取 本 地 IP地 址 填 充 sockaddr_in結構 socket綁 定 到 網(wǎng) 卡 網(wǎng) 卡 設 置 混 雜 模 式 設 置 緩 沖 區(qū) 接 受 數(shù) 據(jù) 包 輸 出 顯 示 內 容 圖 主程序結構圖 系統(tǒng)設計中的重點及難點 重點是要掌握網(wǎng)絡傳輸?shù)脑砗头绞?，比較困難的地方是關于如何捕捉數(shù)據(jù)包頭文件，如何分析頭文件的信息獲取數(shù)據(jù)傳輸?shù)姆绞胶驮吹刂纺肯到y(tǒng)總體設計 標地址等信息，以及通過建立鏈表存儲并且統(tǒng)計數(shù)據(jù)包的個數(shù)和信息。具體問題及措施如下： 解決辦法：把每一個數(shù)據(jù)包放入足夠大的緩沖區(qū)，然后根據(jù)緩沖區(qū)的地址取出數(shù)據(jù)包的包頭。 統(tǒng)計 解決辦法：用一個名為 AddNode 的函數(shù)實現(xiàn)這個功能，在統(tǒng)計的過程中把捕捉到的數(shù)據(jù)包中的源地址和目的地址輸出在屏幕上，然后往鏈表中加入，在往鏈表中加入的時候判斷一下如果是相同性質的（相同的目的、源地址和協(xié)議類型），就把原來的節(jié)點中的 num 計數(shù)器加 1，如果不是則將其加入鏈表。 解決辦法：設置一個條件為 true的 while循環(huán)，在程序開始執(zhí)行的時候獲取當時的時間 start，在 while循環(huán)中獲取當時的時間 end然后用endstart來判斷時間是否超出，如果超出則執(zhí)行 break跳出 while循環(huán)，不再捕捉數(shù)據(jù)包。 21 ……………………………裝……………………………………訂…………………………………線…………………………… 4. 系統(tǒng)詳細設計與實施 Winsock 服務的初始化 WSAStarup是 Windows SocKNDs Asynchronous的啟動命令、 Windows下的網(wǎng)絡編程接口軟件 Winsock1 或 Winsock2 里面的一個命令 。 為了在應用程序當中調用任何一個 Winsock API函數(shù)，首先第一件事情就是必須通過WSAStartup函數(shù)完成對 Winsock服務的初始化，因此需要調用 WSASta