【文章內(nèi)容簡介】 做出正確的應(yīng)對措 施。 IP 流量分析可以為網(wǎng)絡(luò)和應(yīng)用問題的分析提供依據(jù)，特別是數(shù)據(jù)包級的分析，因為這些依據(jù)是真實(shí)的，它們是實(shí)實(shí)在在的在網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)包，這也是流量分析能夠大大提高網(wǎng)絡(luò)和應(yīng)用問題分析效率的原因。 IP 流量分析是有助于維護(hù)網(wǎng)絡(luò)持續(xù)、高效和安全運(yùn)行的一種手段， IP 流量分析有助于網(wǎng)絡(luò)管理員對網(wǎng)絡(luò)運(yùn)行管理、應(yīng)用運(yùn)行管理和網(wǎng)絡(luò)應(yīng)用問題分析。 13 ……………………………裝……………………………………訂…………………………………線…………………………… 3. 系統(tǒng)總體設(shè)計 開發(fā)設(shè)計思想 程序開發(fā)設(shè)計思想有以下幾點(diǎn)： ，從而達(dá)到充分利用現(xiàn)有資源，提高程序開發(fā)水平和應(yīng)用效果的 目的。 ，滿足他們工作的需要，并達(dá)到操作過程中的直觀、實(shí)用、方便、安全等要求。 統(tǒng)采用模塊化程序設(shè)計方法，既便于程序功能的各種組合和修改，又便于未參與開發(fā)的技術(shù)人員對其功能的補(bǔ)充。 系統(tǒng)設(shè)計 在通常情況下，網(wǎng)絡(luò)通信的套接字程序只能響應(yīng)與自己硬件地址相匹配的或是以廣播形式發(fā)出的數(shù)據(jù)幀，對于其他形式的數(shù)據(jù)幀比如已到達(dá)網(wǎng)絡(luò)接口但卻不是發(fā)給此地址的數(shù)據(jù)幀，網(wǎng)絡(luò)接口在驗證投遞地址并非是自身地址之后將不引起響應(yīng)，也就是說應(yīng)用程序無法收取與自己無關(guān)的的數(shù)據(jù)包。所以我們要 想截獲流經(jīng)網(wǎng)絡(luò)設(shè)備的所有數(shù)據(jù)包，就要采取一點(diǎn)特別的手段了：將網(wǎng)卡設(shè)置為混雜模式。這樣，該主機(jī)的網(wǎng)卡就可以捕獲到所有流經(jīng)其網(wǎng)卡的數(shù)據(jù)包和幀。但是要注意一點(diǎn)，這種截獲僅僅是數(shù)據(jù)包的一份拷貝，而不能對其進(jìn)行截斷。 首先初始化環(huán)境，再創(chuàng)建原始 socket將 其初始化；然后獲得本地地址，把原始 socket綁定到本地網(wǎng)卡，再設(shè)置 sock_raw為 SIO_RCVALL,以便接收所有的 IP包；最后監(jiān)聽網(wǎng)卡捕獲 IP包，把捕獲到的包加入鏈表，在達(dá)到預(yù)定時間時退出監(jiān)聽并輸出統(tǒng)計信息。用命令提示符輸入程序所在位置并且加系統(tǒng)總體設(shè)計 上程序運(yùn)行時間 程序才能運(yùn)行。 程序使用命令行運(yùn)行： DURATIONTIME。 程序結(jié)構(gòu)設(shè)計 在 main方法中首先判斷命令行輸入的參數(shù)格式是否合乎要求，然后將獲取的時間長度的字符串轉(zhuǎn)化為整型的，然后依靠系統(tǒng)時間進(jìn)行判斷程序執(zhí)行時間是否已經(jīng)滿足要求。 如果滿足要求則進(jìn)行原始套接字和獲取本機(jī) IP等操作為程序能夠讀取網(wǎng)卡接收的信息做準(zhǔn)備，最后要把網(wǎng)卡設(shè)置為混雜模式以便使網(wǎng)卡能夠接收進(jìn)入所有經(jīng)過此網(wǎng)卡的數(shù)據(jù)包。 混雜模式（ Promiscuous Mode）是指一臺機(jī)器能夠接收所有經(jīng)過它的數(shù)據(jù)流，而 不論其目的地址是否是它。這被網(wǎng)絡(luò)管理員使用來診斷網(wǎng)絡(luò)問題，但是也被無認(rèn)證的想偷聽網(wǎng)絡(luò)通信（其可能包括密碼和其它敏感的信息）的人利用?；祀s模式就是接收所有經(jīng)過網(wǎng)卡的數(shù)據(jù)包，包括不是發(fā)給本機(jī)的包。默認(rèn)情況下網(wǎng)卡只把發(fā)給本機(jī)的包（包括廣播包）傳遞給上層程序，其它的包一律丟棄。簡單的講 ,混雜模式就是指網(wǎng)卡能接受所有通過它的數(shù)據(jù)流，不管是什么格式，什么地址的。具體的地址轉(zhuǎn)發(fā)則是在接受到數(shù)據(jù)后由 MAC 層來進(jìn)行。 在程序執(zhí)行過程中時刻監(jiān)視系統(tǒng)時間以便時間滿足要求后能及時退出，將捕捉到的數(shù)據(jù)包的頭文件的內(nèi)容加入鏈表中，同時 將相應(yīng)的信息輸出到屏幕，此鏈表再追加的時候可以自行作出判斷，如果之前捕捉到的相同源目的地址和協(xié)議類型的數(shù)據(jù)包則不添加新的結(jié)點(diǎn)而是把原來的計數(shù)器加一，在執(zhí)行時間滿足之后退出循環(huán)，將鏈表中的信息輸出作為這段時間里的捕捉到的數(shù)據(jù)包的統(tǒng)計信息。設(shè)計結(jié)構(gòu)圖如 所示。 15 ……………………………裝……………………………………訂…………………………………線…………………………… 數(shù) 據(jù) 包 源 地 址 目 的 地 址 協(xié) 議 類 型 長 度 版 本 生 存 時 間 流 量 分 析 數(shù) 據(jù) 長 度 數(shù) 據(jù) 包 數(shù) 量 數(shù) 據(jù) 交 換 時 間 發(fā) 送 數(shù) 量 接 受 數(shù) 量 具 體 協(xié) 議 I P 包 流 量 分 析 圖 鏈表是一種物理存儲單元上非連續(xù)、非順序的存儲結(jié)構(gòu)，數(shù)據(jù)元素的邏輯順序是通過鏈表中的指針鏈接次序?qū)崿F(xiàn)的 [6]。鏈表由一系列結(jié)點(diǎn)（鏈表中每一個元素稱為結(jié)點(diǎn)）組成， 結(jié)點(diǎn)可以在運(yùn)行時動態(tài)生成。每個結(jié)點(diǎn)包括兩個部分：一個是存儲數(shù)據(jù)元素的數(shù)據(jù)域，另一個是存儲下一個結(jié)點(diǎn)地址的指針域。鏈表 存儲的特點(diǎn)是用一組任意的存儲單元存儲數(shù)據(jù)元素（這組存儲單元可以是連續(xù)的，也可以是不連續(xù)的）。因此，為了表示每個數(shù)據(jù)元素與其直接后繼數(shù)據(jù)元素之間的邏輯關(guān)系，對數(shù)據(jù)元素來說，除了存儲其本身的信息之外，還需存儲一個指示其直接后繼的信息 相比于線性表順序結(jié)構(gòu)，鏈表比較方便插入和刪除操作。 首先要做的便是定義鏈表的內(nèi)容，如圖 所示。 系統(tǒng)總體設(shè)計 協(xié) 議 類 型 下 一 行 指 針 表 頭 指 針 本 地 主 機(jī) I P 目 的 主 機(jī) I P 計 數(shù) i p N o d e 表 尾 指 針 圖 統(tǒng)計模塊設(shè)計 輸出統(tǒng)計的 IP 數(shù)據(jù)包信息 , 列出源地址、目的地址、不同協(xié)議類型的IP 包數(shù)量。結(jié)構(gòu)圖如圖 所示。 i p N o d e 目 的 地 址 協(xié) 議 類 型 數(shù) 據(jù) 包 數(shù) 量 源 地 址 圖 鏈表統(tǒng)計圖 17 ……………………………裝……………………………………訂…………………………………線…………………………… 程序功能設(shè)計 程序功能設(shè)計采取模塊化設(shè)計的方法，在上一節(jié)介紹了鏈表的結(jié)構(gòu)化設(shè)計，至于存儲的細(xì)節(jié)在這就不做過多的敘述。下面重點(diǎn)描述一下 IP 數(shù)據(jù)包捕獲功能示意圖和程序運(yùn)行功能示意圖。 本設(shè)計重點(diǎn)的任務(wù)就是對本地計算機(jī)進(jìn)行監(jiān)控，把網(wǎng)卡 設(shè)置為混雜模式以此來捕獲流經(jīng)網(wǎng)卡的全部數(shù)據(jù)包信息， 加上一些輔助的本地信息查詢，顯示得到當(dāng)前計算機(jī)的基本信息，達(dá)到功能簡潔方便，消耗資源少而又不影響其他程序運(yùn)行的需求。 在我們的個人計算機(jī)上，網(wǎng)卡是比較容易被忽略的，它是個人用戶與互聯(lián)網(wǎng)連接的關(guān)鍵所在，而且它也有流量的出入，因為網(wǎng)絡(luò)上的信息流量是通過計算機(jī)的網(wǎng)卡轉(zhuǎn)換把網(wǎng)上的信息呈現(xiàn)在我們眼前。我們往往都是關(guān)注網(wǎng)絡(luò)流量，但是網(wǎng)卡同樣要引起網(wǎng)絡(luò)管理人員的重視。小事物往往有著大作用，通過對網(wǎng)卡流量的監(jiān)測與分析，比如說：普通用戶的下載速率肯定是比上傳速率大很多，當(dāng)惡意程 序連接網(wǎng)絡(luò)時，上傳速率卻大大大超過下載的速率，此時網(wǎng)絡(luò)管理人員就該注意是否存在不正常的網(wǎng)絡(luò)連接。 通過對 IP 數(shù)據(jù)包的捕獲，我們可以得到如下信息：源地址、目的地址、IP 包版本及生存時間、數(shù)據(jù)包類型及長度等。對于網(wǎng)絡(luò)管理人員來說，從這些信息中就可以了解到與本機(jī)發(fā)生數(shù)據(jù)交換的計算機(jī)相關(guān)信息，知曉當(dāng)?shù)鼐W(wǎng)絡(luò)通信的實(shí)時狀況。面對如此多的數(shù)據(jù)報信息，如果是一位有足夠網(wǎng)絡(luò)經(jīng)驗的管理人員，就可以從細(xì)枝末節(jié)處察覺出是否存在潛在的網(wǎng)絡(luò)問題，這對于網(wǎng)絡(luò)的通暢和安全是非常重要的。 來自網(wǎng)絡(luò)的安全威脅是實(shí)際存在的，特別是在網(wǎng)絡(luò)上運(yùn)行關(guān)鍵 業(yè)務(wù)時，網(wǎng)絡(luò)安全是首先要解決的問題 ，為此，對 IP 包流量分析就要深入了解。 對于 IP 包捕獲的過程如圖 所示。 系統(tǒng)總體設(shè)計 I P 包 捕 獲 過 程 開 始 捕 獲 數(shù) 據(jù) 包 源 地 址 目 的 地 址 協(xié) 議 類 型 長 度 版 本 生 存 時 間 首 部 長 度 捕 獲 統(tǒng) 計 結(jié) 果 捕 獲 結(jié) 束 圖 IP包的捕獲 通過對 IP 數(shù)據(jù)包的分析，我們可以從中得知 IP 數(shù)據(jù)包捕獲的相關(guān)信息，包括捕獲時間、 IP 地址信息、協(xié)議類型及數(shù)據(jù)包相關(guān)信息。這些信息是我們進(jìn)行數(shù)據(jù)包分析所必需的，在了解了這些信息后，就可以從容的面對網(wǎng)絡(luò)實(shí)際運(yùn)行狀況。 程序的執(zhí)行首先要進(jìn)行 winsock 的初始化，初始化后 ,必須建立一個SOCKET 結(jié)構(gòu)來保存 SOCKET 句柄，設(shè)置網(wǎng)卡混雜模式進(jìn)行數(shù)據(jù)包接受并輸出顯示內(nèi)容。主 程序運(yùn)行結(jié)構(gòu)圖如圖 所示。 19 ……………………………裝……………………………………訂…………………………………線…………………………… main 命 令 行 參 數(shù) 設(shè) 置 初 始 化 Winsock 獲 取 本 機(jī) 名獲 取 本 地 IP地 址 填 充 sockaddr_in結(jié)構(gòu) socket綁 定 到 網(wǎng) 卡 網(wǎng) 卡 設(shè) 置 混 雜 模 式 設(shè) 置 緩 沖 區(qū) 接 受 數(shù) 據(jù) 包 輸 出 顯 示 內(nèi) 容 圖 主程序結(jié)構(gòu)圖 系統(tǒng)設(shè)計中的重點(diǎn)及難點(diǎn) 重點(diǎn)是要掌握網(wǎng)絡(luò)傳輸?shù)脑砗头绞?，比較困難的地方是關(guān)于如何捕捉數(shù)據(jù)包頭文件，如何分析頭文件的信息獲取數(shù)據(jù)傳輸?shù)姆绞胶驮吹刂纺肯到y(tǒng)總體設(shè)計 標(biāo)地址等信息，以及通過建立鏈表存儲并且統(tǒng)計數(shù)據(jù)包的個數(shù)和信息。具體問題及措施如下： 解決辦法：把每一個數(shù)據(jù)包放入足夠大的緩沖區(qū)，然后根據(jù)緩沖區(qū)的地址取出數(shù)據(jù)包的包頭。 統(tǒng)計 解決辦法：用一個名為 AddNode 的函數(shù)實(shí)現(xiàn)這個功能，在統(tǒng)計的過程中把捕捉到的數(shù)據(jù)包中的源地址和目的地址輸出在屏幕上，然后往鏈表中加入，在往鏈表中加入的時候判斷一下如果是相同性質(zhì)的（相同的目的、源地址和協(xié)議類型），就把原來的節(jié)點(diǎn)中的 num 計數(shù)器加 1，如果不是則將其加入鏈表。 解決辦法：設(shè)置一個條件為 true的 while循環(huán)，在程序開始執(zhí)行的時候獲取當(dāng)時的時間 start，在 while循環(huán)中獲取當(dāng)時的時間 end然后用endstart來判斷時間是否超出，如果超出則執(zhí)行 break跳出 while循環(huán)，不再捕捉數(shù)據(jù)包。 21 ……………………………裝……………………………………訂…………………………………線…………………………… 4. 系統(tǒng)詳細(xì)設(shè)計與實(shí)施 Winsock 服務(wù)的初始化 WSAStarup是 Windows SocKNDs Asynchronous的啟動命令、 Windows下的網(wǎng)絡(luò)編程接口軟件 Winsock1 或 Winsock2 里面的一個命令 。 為了在應(yīng)用程序當(dāng)中調(diào)用任何一個 Winsock API函數(shù)，首先第一件事情就是必須通過WSAStartup函數(shù)完成對 Winsock服務(wù)的初始化，因此需要調(diào)用 WSASta