第9卷第3期湖南工业职业技术学院学报Vol19No132009年6月JOURNALOFHUNANINDUSTRYPOLYTECHNICJun12009基于网络协议的流量监控系统的研究与实现谭群峰(湖南工业职业技术学院,湖南长沙410208)[摘要]随着计算机网络规模的不断扩大、网络复杂性的不断提高、以及网络新业务的不断出现,使得对互联网络的流量特征和网络行为模型的理解和描述这一问题日益突出。文章从网络安全的角度出发,设计并实现了一个基于WinPcap的网络流量监控系统。[关键词]WinPcap;协议分析;流量监控[中图分类号]TP39[文章标识码]A[文章编号]1671-5004(2009)03-0016-02ResearchandImplementationofNetworkProtocol-basedMonitoringSystemTANQun-feng(HunanIndustrialVocationalTechnicalCollege,Changsha410208,Hunan)[Abstract]Asthecomputernetworksizegrowing,thecomplexityofthenetworkincreasing,aswellasnewbusinessnetworkemerging,theunderstandingandthedescriptionoftheInternetnetworktrafficcharacteristicsandnetworkbehaviormodelhavebecomeacute.ThispaperdesignsandimplementsWinPcap-basednetworktrafficmonitoringsystemFromtheperspectiveofnetworksecurity.[Keywords]WinPcap;protocolanalysis;trafficmonitoring一、引言随着互联网和通信网络的不断发展,网络规模在不断的扩大,计算机网络在一方面给用户带来了方便的同时,另一方面也使得设计、维护和保证网络安全变得困难。通过对网络信息的监测与分析,可记录网络中数据的流量,对网络信息给予适当控制,并有助于分析网络的性能,监控网络各层的协议和服务,分析网内各主机的处理能力,提高对网络的管理。目前已出现一些专用的网络监测和协议分析软件,它们的共同特点是:利用共享式以太网的广播技术,监测软件能够访问本地网络上数据链路层传输的所有数据包,并按用户的图2-1为Winpcap库的体系结构图要求对这些包进行相关处理;对各种协议进行分析,从而可以函数名称功能描述[3]对网络负载流量情况、网络所有的各种通讯协议进行监控。pcap_lookupdev()查询本机的网络接口名字然而,随着网络技术的进一步发展,共享式以太网逐步被交换pcap_lookupnet()获取网络地址和网络掩码式以太网所取代,这些软件的使用效果往往不能令人满意。因pcap_open_live()打开一个网络接口进行数据包捕获此,我们需要研究一种可以很好的对交换式以太网进行监控pcap_compile()编译数据包捕获过滤规则的系统,以满足人们的需要。pcap_setfilter()设置数据包捕获过滤规则()循环捕获网络数据包二、WinPcap简介pcap_loopWinPcap就是Windows平台下的一种捕包技术,它提供了三、网络流量系统实现一套标准的捕包接口与兼容可使得原来许多,Libpcap,Unix网络流量监测系统的主要功能是对网络上的通信情况进平台下的网络分析工具快速移植过来,便于开发各种网络分行监控,监控的主要内容为数据包。其实现原理是利用网卡的析工具。混杂模式或交换设备的监视端口获取网络上的通信信息,统WinPcap由内核级的NetgroupPacketFilter(npf1sys)、低级计网络流量,并根据不同的应用目的对这些信息进行协议解动态链接库(packet1dll)和高级动态链接库(wpcap1dll)三部分析,得到最终期望的结果,然后对解析的数据内容进行校验,针组成。本流量监控系统主要用到的函数和功能如表2-2对敏感信息给出报警,并写相应的日志。所示。[收稿日期]2009-05-20[作者简介]谭群峰(1980-),男,湖南涟源人,湖南工业职业技术学院助教,研究方向:软件工程。16©1994-2009ChinaAcademicJournalElectronicPublishingHouse.Allrightsreserved.http://www.cnki.net2009年湖南工业职业技术学院学报第3期基于协议分析的网络流量监测系统共分为数据包捕获,解析,可分为数据链路层协议分析、网