网络流量监控及分析资料报告工具地设计与实现
网络流量分析与监控系统的设计与实现方法
网络流量分析与监控系统的设计与实现方法随着互联网的快速发展,网络流量管理和监控成为了重要的任务。
网络流量分析与监控系统的设计与实现方法变得越来越重要。
这篇文章将介绍网络流量分析与监控系统的基本原理,并探讨其设计和实现方法。
一、网络流量分析与监控系统的基本原理网络流量分析与监控系统旨在监控和分析网络中传输的数据流,以提供网络的性能优化、安全等方面的支持。
它通过收集、存储和分析网络流量数据,帮助网络管理员和安全人员识别网络中的问题和异常行为。
网络流量分析与监控系统的基本原理包括以下几个方面:1. 数据收集:网络流量分析与监控系统通过在网络设备上部署数据收集代理或嗅探器来捕捉网络流量数据。
这些代理或嗅探器收集和转发数据以供后续分析使用。
2. 数据存储:收集到的网络流量数据需要进行有效的存储和管理。
通常情况下,这些数据会存储在专门的数据库中,以方便后续查询和分析。
3. 数据分析与处理:网络流量分析与监控系统利用各种分析技术和算法对收集到的数据进行处理和分析。
这些技术和算法可以用来检测异常流量、识别网络攻击、监测网络性能等。
4. 可视化展示:对分析结果的可视化展示可以帮助用户更直观地理解网络流量的状况。
图表、表格、仪表盘等形式的展示方式可以帮助用户快速了解网络的状态和趋势。
二、网络流量分析与监控系统的设计方法设计一个高效的网络流量分析与监控系统需要考虑以下几个关键因素:1. 数据收集与存储:选择合适的数据收集代理或嗅探器,并设计有效的数据存储结构。
可以采用分布式存储和负载均衡的方式来提高系统的性能和可扩展性。
2. 数据处理与分析:选择适合的分析技术和算法,并进行合理的数据预处理,以提取有用的特征信息。
常用的分析方法包括传统的统计分析方法和机器学习算法等。
3. 安全性保障:网络流量分析与监控系统需要保护用户数据的安全性和隐私。
采用合适的加密技术,限制访问权限,并定期进行安全审计和漏洞修复,以确保系统的安全性。
基于大规模数据的网络流量分析与监控系统设计与实现
基于大规模数据的网络流量分析与监控系统设计与实现随着互联网的快速发展和普及,网络安全问题日益突出。
因此,设计和实现一个基于大规模数据的网络流量分析与监控系统是非常必要的。
本文将介绍该系统的设计思路、功能和实现方式。
一、设计思路基于大规模数据的网络流量分析与监控系统的设计需要考虑以下几个方面:1. 数据采集:系统需要能够采集大规模的网络流量数据,包括网络流量的源地址、目的地址、协议类型、端口等信息。
2. 数据存储:系统需要能够高效地存储采集到的网络流量数据,以便后续的分析和查询。
3. 数据处理:系统需要能够对采集到的网络流量数据进行处理,包括数据清洗、特征提取等操作。
4. 数据分析:系统需要能够对处理后的网络流量数据进行分析,以便发现网络异常行为和安全威胁。
5. 数据可视化:系统需要能够将分析的结果以可视化的方式展示,便于用户直观地了解网络流量的情况。
二、功能介绍基于以上的设计思路,该系统应具备以下几个主要功能:1. 实时监控:系统能够实时采集和监控网络流量数据,及时发现和处理网络攻击和异常行为。
2. 流量分析:系统能够对采集到的网络流量数据进行深入分析,包括流量的来源、目的、协议、端口等信息,以便发现潜在的网络威胁。
3. 安全告警:系统能够根据流量分析的结果,发现和判断网络威胁,并及时向管理员发送安全告警,提供相关的应对策略。
4. 用户查询:系统支持用户根据特定条件对存储的网络流量数据进行查询和检索,满足用户的具体需求。
5. 可视化展示:系统能够将流量分析的结果以图表、地图等形式进行可视化展示,让用户更直观地了解网络流量的情况。
三、实现方式在实现基于大规模数据的网络流量分析与监控系统时,可以考虑以下几个方面:1. 数据采集:使用网络监控设备(如交换机、路由器)或者网络流量捕获工具(如Wireshark)进行网络流量的抓取和采集,将采集到的数据存储到数据库中。
2. 数据存储:使用支持高并发、高性能的数据库,如MySQL、NoSQL等,存储采集到的网络流量数据。
网络流量监控与分析系统的设计与实现研究
网络流量监控与分析系统的设计与实现研究随着互联网和各种互联网应用的快速发展,网络流量的管理和控制已经成为了一个重要的话题。
网络流量分析系统可以帮助网络管理员了解网络状态、监测网络活动和提高网络管理的效率。
在这篇文章中,我们将介绍一个网络流量监控与分析系统的设计与实现研究,包括系统的功能,设计思路和技术实现。
一、系统功能网络流量监控与分析系统是一个用于管理和控制网络流量的工具,其功能包括:1、流量监测:从网络中捕获数据流并记录下来。
2、流量分析:对捕获的数据流进行过滤和分析,获取有用的信息。
3、流量控制:根据分析结果,对网络流量进行控制。
4、流量预测:结合历史流量数据,预测未来的流量趋势。
二、设计思路网络流量监控与分析系统的设计需要考虑到以下方面:1、数据捕获:需要通过网络抓包技术来获取网络数据。
2、数据处理:需要对抓到的数据进行清洗和过滤,将有用的数据提取出来,如源地址、目的地址、端口等信息。
3、数据存储:需要将处理后的数据存储到数据库中,以便后续的分析和查询。
4、数据分析和预测:需要进行统计和分析,以便更好地理解网络流量的趋势和特征。
5、用户交互:需要一个友好的用户界面,方便管理员使用和配置系统。
三、技术实现为实现上述的设计思路,我们选择了以下技术:1、数据捕获:使用tcpdump抓包工具,可以通过命令行来进行抓包操作。
2、数据处理:使用Python编程语言,通过过滤器等方式清洗和提取数据。
3、数据存储:使用MySQL数据库来存储数据。
4、数据分析和预测:使用Python的数据分析和机器学习库,如pandas、numpy和scikit-learn等,来进行数据分析和预测。
5、用户交互:使用Web框架Django来实现用户界面。
四、系统架构基于上述设计思路和技术实现方法,我们提出了以下的系统架构:1、数据采集和处理模块:负责从网络中获取数据,并将数据进行清洗和过滤,提取有用的信息。
2、数据存储模块:将处理后的数据存储到MySQL数据库中。
网络流量监控及分析工具的设计与实现
目录1引言 01、1课题背景 01、2网络流量监控的引入 01、3课程设计的目的与任务 (1)2相关的概念与技术 (2)2、1TCP/IP体系结构 (2)2、2原始套接字 (2)3网络数据的采集技术分析 (3)3、1Windows下原始数据包捕获的实现 (3)3、2原始数据包捕获的关键函数 (4)4网络流量监控系统各模块的设计与实现 (5)4、1总体结构设计 (5)4、2流程图设计 (6)4、3各模块功能概述与实现 (6)4、3、1数据包采集中各类的关系 (6)4、3、2数据包捕获与分析模块 (6)4、3、3流量获取模块 (8)4、3、4数据统计模块 (10)5分析工具测试 (10)5、1测试环境 (10)5、2测试步骤 (11)5、3测试结果评价 (11)6结束语 (12)参考文献: (13)1引言1.1课题背景随着构建网络基础技术与网络应用的迅速发展以及用户对网络性能要求的提高,使得网络管理成为迫切需要解决的问题,有效的网络管理能够保证网络的稳定运行与持续发展,更重要的就是,随着网络规模的扩大与黑客技术的发展,入侵与攻击的案例日益增多,对稳定的网络服务、信息安全、互联网秩序都提出了严峻的挑战,网络安全管理在整个网络管理系统里扮演起更为重要的角色。
1.2网络流量监控的引入网络安全管理体系中,流量监控与统计分析就是整个管理的基础。
流量检测主要目的就是通过对网络数据进行实时连续的采集监测网络流量,对获得的流量数据进行统计计算,从而得到网络主要成分的性能指标。
网络管理员根据流量数据就可以对网络主要成分进行性能分析管理,发现性能变化趋势,并分析出影响网络性能的因素及问题所在。
此外,在网络流量异常的情况下,通过扩展的流量检测报警系统还可以向管理人员报警,及时发现故障加以处理。
在网络流量检测的基础上,管理员还可对感兴趣的网络管理对象设置审查值范围及配置网络性能对象,监控实时轮询网络获取定义对象的当前值,若超出审查值的正常预定值则报警,协助管理员发现网络瓶颈,这样就能实现一定程度上的故障管理。
网络流量分析与监测系统设计与实现
网络流量分析与监测系统设计与实现第一章:引言随着互联网的快速发展,如今的世界已经进入了信息化的时代。
网络流量分析与监测系统的设计与实现成为了网络安全领域的重要课题。
本章将介绍网络流量分析与监测系统的背景和重要性,并提出设计与实现的目标。
第二章:网络流量分析与监测技术介绍本章将对网络流量分析与监测技术进行详细介绍。
首先,介绍网络流量分析的概念和原理,包括数据包的捕获和提取、流量分析算法等。
然后,介绍网络流量监测的技术和方法,包括基于SNMP协议的监测、基于NetFlow的监测等。
最后,比较不同技术的特点和适用场景。
第三章:网络流量分析与监测系统的需求分析在本章中,我们将对网络流量分析与监测系统的需求进行详细分析。
首先,从功能需求和性能需求方面考虑,明确系统需要实现的基本功能和性能指标。
然后,从用户需求和业务需求方面考虑,明确系统需要提供的用户界面和业务功能。
第四章:网络流量分析与监测系统的架构设计本章将给出网络流量分析与监测系统的架构设计。
首先,介绍系统的总体架构,包括前端数据采集模块、后端数据处理模块和用户界面模块。
然后,详细介绍各个模块的功能和实现方式。
最后,给出系统的流程图和数据流图,说明系统中各个模块的工作流程和数据流动。
第五章:网络流量分析与监测系统的实现本章将详细介绍网络流量分析与监测系统的实现过程。
首先,介绍系统开发所使用的技术和工具,包括编程语言、开发框架等。
然后,详细介绍各个模块的具体实现方法,包括数据采集、流量分析和结果展示等。
最后,给出系统实现的效果图和分析结果。
第六章:网络流量分析与监测系统的性能评估为了验证网络流量分析与监测系统的有效性和性能,本章将对系统进行性能评估。
首先,介绍评估的方法和指标,包括系统的响应时间、准确性和鲁棒性等。
然后,详细介绍评估实验的设置和结果分析,比较系统与其他类似系统的性能差异。
第七章:网络流量分析与监测系统的应用展望在本章中,我们将对网络流量分析与监测系统的应用展望进行讨论。
如何进行网络流量分析和监控
如何进行网络流量分析和监控网络流量分析和监控是保障网络安全和性能优化的重要工作。
通过分析网络流量,可以及时发现和识别各种网络攻击,保护网络的安全性;同时,网络流量监控可以帮助管理员及时发现和解决网络拥堵、性能瓶颈等问题,提高网络的稳定性和性能。
本文将探讨如何进行网络流量分析和监控。
一、网络流量分析网络流量分析是指对网络中传输的数据进行抓包和分析,以了解网络的行为和性能,识别异常情况。
下面是进行网络流量分析的一些方法和工具:1. 抓包工具网络流量分析的第一步是抓取网络数据包。
常用的抓包工具有Wireshark、Tcpdump等。
这些工具可以在特定的网络接口上捕获数据包,并将其保存到文件中供后续分析。
2. 数据包解析抓包后,需要对数据包进行解析,以获取更多有用的信息。
Wireshark等抓包工具提供了各种过滤器和解码器,可以解析数据包的协议头、载荷等,并显示在用户界面上,方便查看和分析。
3. 流量统计对网络流量进行统计分析,可以从宏观上了解网络的使用情况。
例如,可以统计某个IP地址的发送/接收数据量、占用带宽等,以及根据某个端口号来统计应用程序或服务的使用情况。
常用的统计工具有Cacti、Ntop等。
4. 异常检测网络流量分析还可以用于异常检测,通过对比网络的正常行为和异常行为,识别出潜在的安全威胁。
常用的异常检测方法包括规则匹配、行为分析等。
IDS(入侵检测系统)和IPS(入侵防御系统)是常用的异常检测和防御工具。
二、网络流量监控网络流量监控是指持续地监视网络的流量,及时发现和解决网络问题。
下面是进行网络流量监控的一些方法和工具:1. 流量收集首先,需要选择一个合适的流量收集方法,将网络流量导入到监控系统中。
常见的方法有镜像端口、流量镜像(SPAN/RSPAN)以及网络超级节点(NetFlow、sFlow等)。
这些方法可以将网络流量复制到监控设备上进行分析和存储。
2. 流量分析对于大规模网络,直接分析原始流量可能会变得非常困难和耗时。
网络流量监控及分析工具的设计与实现
网络流量监控及分析工具的设计与实现随着互联网的快速发展,网络流量的增长速度也在不断加快。
为了能够更好地管理和优化网络资源,网络流量监控及分析工具成为一个重要的需求。
本文将从设计与实现两个方面,介绍网络流量监控及分析工具的实现方法。
一、设计1.功能需求分析首先,需要明确该工具的主要功能需求,例如实时监控网络流量、分析流量趋势、检测流量异常等。
可以通过与用户进行需求沟通、收集用户反馈等方式来获取需求信息。
2.架构设计基于功能需求,设计网络流量监控及分析工具的总体架构。
典型的架构包括数据收集、数据处理和数据展示三个模块。
数据收集模块负责从网络设备、服务器等获取流量数据;数据处理模块负责对收集到的数据进行处理和分析;数据展示模块负责可视化展示分析结果。
3.数据模型设计设计合理的数据模型是实现流量监控及分析工具的关键。
一般来说,可以使用流量数据包的五元组(源IP地址、目的IP地址、源端口、目的端口、传输协议)作为数据模型的基础,同时可以补充其他关键信息,如时间戳、流量大小等。
二、实现1.数据收集数据收集可以通过网络设备提供的接口、网络流量分析模块等方式进行。
一种常见的方法是使用网络抓包工具,如Wireshark等,通过监听网络接口来捕获网络流量数据。
2.数据处理与分析对收集到的流量数据进行处理和分析,可以采用一些流行的流量分析算法和技术。
例如,可以使用统计方法,如平均值、方差等,对流量数据进行统计分析;可以使用机器学习算法,如聚类、分类等,对流量数据进行异常检测。
3.数据展示数据展示是网络流量监控及分析工具的重要组成部分。
通过可视化展示分析结果,可以帮助用户更直观地了解网络流量的情况。
常见的展示方式包括数据报表、图表、动态图等。
可以使用一些开源的可视化库和工具来实现,如Elasticsearch、Kibana等。
三、总结设计和实现网络流量监控及分析工具需要考虑多个方面的因素,包括功能需求、架构设计、数据模型设计、数据收集、数据处理与分析以及数据展示等。
网络流量监测与分析系统设计与实现
网络流量监测与分析系统设计与实现随着互联网的发展和普及,人们越来越依赖它来获取信息和进行沟通。
网络已经成为人们生活中不可或缺的一部分,而互联网上的数据流量已经成为影响使用体验和网络质量的重要因素。
因此,如何有效地监测和分析网络流量,是网络基础设施管理中必不可少的一环。
一、网络流量监测网络流量监测是指对网络中传输的数据包进行实时检测,记录和统计,并提供监测数据的方法。
网络流量监测有多种方法,如流量镜像、端口镜像、流量分析等。
其中,流量镜像被广泛使用。
流量镜像是将网络交换机的某些端口的流量复制到镜像端口或设备中的方法,被用于监测特定节点的网络流量。
在网络流量监测中,我们可以通过以下方式来监测和分析网络流量:1. 流量分类:将网络流量按照协议类型、端口号等分类,方便分析。
2. 流量统计:通过统计网络流量数据,反映网络运行质量和网络使用情况。
3. 实时监测:对网络中的数据包进行实时监测,实时掌握网络运行情况。
二、网络流量分析网络流量分析是一个比较复杂的过程,它主要包括深度数据包分析、数据流分析和综合流量分析。
深度数据包分析:深度数据包分析是指对每个数据包进行详细的分析,可以获取具体的数据传输情况和传输效率。
它可以帮助我们找出具体的网络瓶颈、网络故障并进行解决。
数据流分析:数据流分析是指将多个数据包组合成一个数据流进行分析,可以更准确地衡量网络的带宽、质量、延迟等指标。
综合流量分析:综合流量分析是指通过对深度数据包分析和数据流分析结合起来,进行精细化的分析,并根据需求生成报表,帮助决策者掌握网络使用情况。
三、网络流量监测与分析系统的设计与实现网络流量监测与分析系统的设计可以借助一些网络流量监测工具实现,如Wireshark、tcpdump、prtg等。
这些工具基本实现了上述的流量分类、流量统计、实时监测等操作,并且提供了一些综合流量分析的报表。
但是这些工具的局限在于缺乏对数据的业务意义理解,并且流量分析的深度以及综合分析的能力有限。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
目录1 引言 (1)1.1课题背景 (1)1.2网络流量监控的引入 (1)1.3课程设计的目的与任务 (1)2 相关的概念与技术 (2)2.1TCP/IP体系结构 (2)2.2原始套接字 (3)3 网络数据的采集技术分析 (4)3.1Windows下原始数据包捕获的实现 (4)3.2原始数据包捕获的关键函数 (5)4 网络流量监控系统各模块的设计与实现 (6)4.1总体结构设计 (6)4.2流程图设计 (7)4.3各模块功能概述与实现 (8)4.3.1 数据包采集中各类的关系 (8)4.3.2 数据包捕获与分析模块 (9)4.3.3 流量获取模块 (10)4.3.4 数据统计模块 (13)5 分析工具测试 (13)5.1测试环境 (13)5.2测试步骤 (13)5.3测试结果评价 (13)6 结束语 (15)参考文献: (16)1引言1.1课题背景随着构建网络基础技术和网络应用的迅速发展以及用户对网络性能要求的提高,使得网络管理成为迫切需要解决的问题,有效的网络管理能够保证网络的稳定运行和持续发展,更重要的是,随着网络规模的扩大和黑客技术的发展,入侵和攻击的案例日益增多,对稳定的网络服务、信息安全、互联网秩序都提出了严峻的挑战,网络安全管理在整个网络管理系统里扮演起更为重要的角色。
1.2网络流量监控的引入网络安全管理体系中,流量监控和统计分析是整个管理的基础。
流量检测主要目的是通过对网络数据进行实时连续的采集监测网络流量,对获得的流量数据进行统计计算,从而得到网络主要成分的性能指标。
网络管理员根据流量数据就可以对网络主要成分进行性能分析管理,发现性能变化趋势,并分析出影响网络性能的因素及问题所在。
此外,在网络流量异常的情况下,通过扩展的流量检测报警系统还可以向管理人员报警,及时发现故障加以处理。
在网络流量检测的基础上,管理员还可对感兴趣的网络管理对象设置审查值围及配置网络性能对象,监控实时轮询网络获取定义对象的当前值,若超出审查值的正常预定值则报警,协助管理员发现网络瓶颈,这样就能实现一定程度上的故障管理。
而网络流量检测本身也涉及到安全管理方面的容。
由此可见,对于一个有效的网络安全管理系统来说,功能的实现都或多或少的依赖于流量信息的获取。
因此网络流量信息的采集可以说是网络安全管理系统得以实现的核心基石。
它的应用可以在一定程度上检测到入侵攻击,可以有效地帮助管理人员进行网络性能管理,并利用报警机制协助网管人员采取对应的安全策略与防护措施,从而减少入侵攻击所造成的损失。
1.3课程设计的目的与任务该网络流量监控及分析工具主要用途是通过实时连续地采集网络数据并对其进行统计,得到主要成分性能指标,结合网络流量的理论,通过统计出的性能指数观察网络状态,分析出网络变化趋势,找出影响网络性能的因素。
课程设计开发的工具实现以下功能:(1)采用Winsock编写原始套接字Socket-Raw对数据包进行采集捕获,并可实现分类及自定义围进行捕获;(2)对捕获的数据包进行一定的解析;(3)访问操作系统提供的网络性能参数接口,得到网卡总流量、输入流量和输出流量;(4)系统提供了多种方式显示结果,如曲线图、列表等;(5)使用IP帮助API获取网络统计信息;(6)实现对部分常见威胁的预警,可继续开发扩展其报警功能。
2相关的概念与技术2.1TCP/IP体系结构由于TCP/IP比其之前的OSI模型更具体实现,随着互联网的不断发展,遵循TCP/IP 结构的网络不断普及,因此现在通常采用TCP/IP代表Internet体系结构。
TCP/IP的目的是在网络标准不同的情况下解决互联问题,可以说,网络互联是TCP/IP的核心。
TCP/IP的体系结构如图1所示。
图1TCP/IP在设计时重点并没有放在具体通信的实现上,所以对最后两层没有做出具体规定,同时表明它允许不同类型的通信网络参与通信。
它的四个层次功能如下。
(1)应用层,提供常用的应用程序及自定义的应用程序,数据传输时用TCP/IP协议来进行;(2)传输层,提供端到端的应用程序之间的通信,可以使用传输控制协议TCP (Transmission Control Protocol)或用户数据报协议UDP(User Datagram Protocol)协议,前者提供可靠传输,传送单位是报文段,后者提供不可靠服务,传输单位是数据报,即分组。
此外,传输层另外一个功能就是区别应用程序;(3)网际层,负责计算机之间的通信,采用的协议是IP协议,数据传送单位是分组,向上提供不可靠的传输服务;(4)网络接口层,负责接收数据报,并实现发送,或者接收帧,提取IP数据报,交给互联网层。
2.2原始套接字从用户的角度来看,标准的流式套接字和数据报套接字这两类套接字似乎涵盖了TCP/IP应用的全部,因为基于TCP/IP的应用,从协议栈的层次(如图2.2.1所示)上讲,在传输层的确只可能建立于TCP或UDP协议之上,而流式套接字和数据报套接字又分别对应于TCP和UDP,所以几乎所有的应用都可以用这两类套接字实现。
但是,当需要自定义数据包发送时或者需要分析所有经过网络的数据包的时候,就必须面临一种不同于前两者的方式—Raw Socket,即原始套接字,程序员可以用它来发送和接收 IP 层以上的原始数据包, 如ICMP,TCP, UDP等,不仅这样,它还可以实现如伪装本地IP、发送ICMP包等功能。
Raw Socket广泛应用于高级网络编程,也是一种广泛的黑客手段。
著名的网络sniffer、拒绝服务攻击(DOS)、IP欺骗等都可以以Raw Socket实现。
Raw Socket与标准套接字图 2.2.1 协议栈层次(SOCK_STREAM、SOCK_DGRAM)的区别在于前者直接置"根"于操作系统网络核心(Network Core),而SOCK_STREAM、SOCK_DGRAM则“悬浮”于TCP和UDP协议外围,如图2.2.2所示。
3网络数据的采集技术分析3.1 Windows下原始数据包捕获的实现网络上的数据包捕获机制主要依赖于所使用的操作系统,不同的操作系统下有不同的实现途径。
在Windows环境下,可通过网络驱动程序接口规(NDIS),WinSock的SOCK_RAW 或虚拟设备驱动技术(VxD)等技术实现网络数据包的捕获功能。
前面已经介绍到了,使用原始套接字可以绕过Socket提供的功能,对底层的协议进行使用与开发,可以根据自己的需要生成想要的数据报文等,下面开始介绍使用原始套接字对数据包捕获进行开发的相关技术知识。
第一,使用套接字前,需要了解网卡接收数据的工作原理:在正常情况下,网络接口只响应两种数据帧,一种是与自己的硬件相匹配的数据帧,另一种四向所有计算机广播的数据帧。
在系统中,数据帧的收发由网卡完成,网卡程序接收从网络发来的数据包,根据其硬件地址去判断是否与本机的硬件地址匹配,若匹配就通知CPU 产生中断进行响应,然后调用驱动程序设置的网卡中断程序地址调用驱动程序接收数据,然后放入堆栈进行系统相关处理,若不匹配则直接丢弃该数据包[3]。
对于网络接口,它一般具有4种数据接收模式:广播、组播、直接和混杂模式,只有当把接口设置为混杂模式时,网络接口才能接收所有的数据,无论地址是否匹配,所以在做本设计的时候一定要设置为混杂模式才能实现数据的采集。
第二,需要了解套接字的工作程序和使用方法:一般来说,采用套接字开发网络程序需要经历以下几个基本步骤:启动、创建、绑定、监听(接受连接)、连接、发送/接收数据、关闭、卸载等。
第三,具体到Windows下利用原始套接字捕获网络数据可以这样设计:(1)启动套接字;(2)创建一个原始套接字;(3)将套接字与本地地址绑定;(4)设置操作参数;(5)设置网络接口为混杂模式;(6)启动监听线程,开始接收数据;(7)退出关闭套接字。
3.2原始数据包捕获的关键函数(1)启动函数WSAStartupint PASCAL FAR WSAStartup (DWORD wVersionRequested , LPWSADA TA lpWSAData);每一个套接字应用程序都必须调用该函数进行一系列初始化工作,并且只有调用成功返回后,才能开始使用套接字,其中参数wVersionRequested是版本号,高字节是次版本号、低字节是主版本号,参数lpWSAData是指向WSADA TA结构的指针。
(2)套接字创建函数socketSOCKET socket (int af , int type , int protocol);所有的通信在建立之前都必须创建一个套接字,socket函数的功能就是创建套接字,其中参数af指协议地址族(address family),当建立的套接字是依赖于UDP或TCP的话,需要设置af为AF_INET,表示采用IP协议。
参数type是指协议的套接字类型,采用流式套接字时用SOCK_STREAM,采用数据报套接字时用SOCK_DGRAM,采用原始套接字时用SOCK_RAW。
参数protocol是协议字段,默认情况下可直接设置为0。
(3)绑定函数bindint bind ( SOCKET s , struct sockaddr_in* name , int namelen);成功创建套接字后的下一步工作就是将本地网络接口与套接字进行绑定,其中参数s 是创建的套接字,参数name是需要绑定的通信对象的信息结构体指针,namelen是该结构的长度。
需要注意的是sockaddr_in结构:struct sockaddr_in{short sin_family; //地址族,设置为AF_INETunsigned short sin_port; //指定的端口号struct in_addr sin_addr; //IP地址char sin_zero[8];};由于主机序列与网络序列的关系,在程序中需要使用htons等函数进行转换工作。
(4)设置接口模式函数WSAIoctlint WSAAPI WSAIoctl(SOCKET s, DWORDdwIoControlCode, LPVOID lpvInBuffer, DWORDcbInBuffer, LPVOID lpvOutBuffer, DWORDcbOutBuffer, LPDWORD lpcbBytesReturned,LPWSAOVERLAPPED lpOverlapped,LPWSAOVERLAPPED_COMPLETION_ROUTINElpCompletionRoutine);其中,s为一个套接口的句柄,dwIoControlCode为操作控制代码,lpvInBuffer为输入缓冲区的地址,cbInBuffer为输入缓冲区的大小,lpvOutBuffer为输出缓冲区的地址,cbOutBuffer为输出缓冲区的大小,lpcbBytesReturned为输出实际字节数的地址,lpOverlapped为WSAOVERLAPPED结构的地址,lpCompletionRoutine为一个指向操作结束后调用的例程指针。