计算机网络测量与行为分析的研究与应用.doc

计算机网络测量与行为分析的研究与应用计算机网络测量与行为分析的研究与应用 计算机科学与技术专业 03 王霏霏 指导教师 辛忠 摘摘 要要 随着互联网的发展 理解网络行为对于网络管理 规划和发展都有重要的意义随着互联网的发展 理解网络行为对于网络管理 规划和发展都有重要的意义 网络流量测网络流量测 量是研究网络行为的基础 论文详细介绍了网络监测器的设计和实现 该软件的功能实现分为量是研究网络行为的基础 论文详细介绍了网络监测器的设计和实现 该软件的功能实现分为 三个部分 网络流量监控部分 数据包抓取部分和局域网消息发送部分 网络流量部分通过三个部分 网络流量监控部分 数据包抓取部分和局域网消息发送部分 网络流量部分通过 WINDOWS 注册表相关系统性能接口的访问和定时刷新绘制出连续的网络流量图 数据包抓取注册表相关系统性能接口的访问和定时刷新绘制出连续的网络流量图 数据包抓取 部分通过将网卡设置为混杂模式而实现数据包的截取功能 局域网消息发送部分则通过调用应部分通过将网卡设置为混杂模式而实现数据包的截取功能 局域网消息发送部分则通过调用应 用程序用程序 NET SEND 实现局域网内的消息发送功能 最后 本文在上述理论和实践的基础上分别实现局域网内的消息发送功能 最后 本文在上述理论和实践的基础上分别 在模拟的广域网和局域网环境下对网络监测器进行了测试 并分析了测试的结果 在模拟的广域网和局域网环境下对网络监测器进行了测试 并分析了测试的结果 关键词 关键词 网络测量 网络行为分析 网络侦听 ABSTRACT Due to the development of Internet it is very important for the network management plans and the development to understand the network behavior so the network traffic measurement has been becoming the basic of network behavior research The design and realization of the network monitor have been introduced in this paper The realization of this software is divided into three parts The network current capacity the data packet capture and the local area network news transmission The part of the network traffic measurement draws up the continual network current capacity picture and through visiting the WINDOWS registration table system related performance and refreshing in fixed time The part of data packet capture has realized the function through establishing the net card as Promiscuous mode The news transmission in local area network realizes the function through transferring the application of the procedure NET SEND In the end the network monitor has been tested in the simulation of the Wide area network and the local network which base on the theory and practice and the result of the test has been analyzed in this paper KEY WORDS Network measurement Network behavior anslysis Network interception 1 1 概述 概述 互联网是上亿台计算机互联成的全球性网络 虽然相关的组网与管理技术在不断地完 善 但人们对它在局部和整体范围内所体现出的行为特征依然没有一个正确和完整的认识 掌握 Internet 的行为是网络规划 网络管理和网络安全 新网络协议和网络应用设计等诸 多研究工作的重要前提 近年来对大规模互联网络行为的研究成为该领域被关注的热点目 标 通过测量分析可以掌握网络行为的基本特征 base line 有助于寻找网络行为变化的 规律 构造并验证网络行为的数学模型 1 所以 针对网络行为的测量分析方法展开系统 性的研究将对 Internet 行为学方面的研究取得理论突破具有重要的意义 2 2 网络监测器的设计与实现 网络监测器的设计与实现 网络监测器是一种应用程序 它只需在网络中的一台机器上运行 即可侦听到网络中 所有报文 网络监测器利用的是共享式的网络传输介质 共享即意味着网络中的一台机器 可以侦听到传递给所有机器的报文 2 例如 最常见的以太网就是一种共享式的网络技术 以太网卡收到报文后 通过对目的地址进行检查 来判断是否是传递给自己 如果是 则 把报文传递给操作系统 否则 将报文丢弃 不进行处理 网卡存在一种特殊的工作模式 在这种工作模式下 网卡不对目的地址进行判断 而直接将它收到的所有报文都传递给操 作系统处理 这种特殊的工作模式 就称之为混杂模式 Promiscuous mode 网络监测器 就是通过将网卡设置为混杂模式 来实现对网络的侦听 目前网络中的绝大部分信息都是 以明文形式传送的 所以如果使用了网络监测器 就可以对网络中传输的所有信息一目了 然 由此可见 网络监测器是网络中功能非常强大的一种工具 一方面 网络管理员可以 利用它实现对网络流量的监测和分析 从而及时发现网上的不安全因素 另一方而 黑客 也可以利用它 获得网络中他人的信息 造成严重的后果 1 网络监测器的功能框架 网络监测器设计为三个功能模块 如下图所示 图 2 1 网络监测器的功能框架图 图 2 1 显示的是网络监测器的功能框架图 其中第一部分为网络监测器的网络流量监 控部分 中间说明的是数据包截取部分 第三部分说明的是局域网内发送消息功能部分 本文将对以上三部分的设计与实现作以详细的阐述 2 网络流量监控部分的实现 1 主程序结构和流程 网络流量监控程序的本质是对流入和流出网卡的数据包进行测量 在单位时间里的流入量 实际上就是在单位时间里流入网卡的数据包的字节数 而总流量就是流入量和流出量之和 网络流量监控程序的思想是 对流入和流出网卡的数据包进行检测并对数据包的长度进 行累加 从而得到流量数据 而实际编程时 由于Windows NT 2000 XP 提供了一个系统性能的 接口 注册表 所以需要做的就是访问这个接口 得到数据流量 根据这个想法 设计出一个 程序NetTraffic NetTraffic 所需要的模块如下 网络模块 负责对注册表进行访问 遍历相关接口类型得到流量数据 窗口模块 由于需要将网络流量的数据图绘制在窗口中 而应用程序本身是基于对话框的 所 以考虑将流量图绘制在一个继承于 Cbutton 类的按钮对象中 在本对话框窗口中有3 个按钮 一 个负责总流量的绘制 一个负责输入流量的绘制 还有一个负责输出流量的绘制 主框架模块 负责框架窗口消息处理和映射 2 结构设计 本例创建的是基于对话框的VC 工程项目 包括以下的一些文件 其中窗体部分为NetTraffiButtonDlg h NetTrafficButtonDlg cpp 显示主窗体界面 窗口消息 处理 网络部分包括MFNetTraffic h MFCNetTrafficButton cpp 通过访问注册表得到数据流量 的性能数据 统计数据的图像显示部分包括MFCTrafficButton cpp 通过button 来绘制流量数据的统计 图 MemDC h MenDC cpp 为按钮的绘制 构造相关位图和设备句柄 全局信息数据Globals h 放置定时器 绘制相关的全局信息 2 数据包截获部分的实现 1 实现原理 在以太网中 所有的通信都是广播的 也就是说通常在同一个网段的所有网络接口都可 以访问在物理媒体上传输的所有的数据 在正常的情况下 一个网络接口应该只响应两种数 据帧 与自己硬件地址相匹配的数据帧 发向所有计算机的广播数据帧 在一个实际的系统中 数据的收发是由网卡来完成的 网卡接受到传输来的数据 网卡内 的程序接收数据帧的目的MAC 地址 根据计算机上的网卡驱动程序设置的接收模式判断该不该 接收 认为该接收就接收后产生中断信号通知 CPU 认为不该接收就丢掉不管 所以不该接 收的 数据就被网卡截断了 计算机根本就不知道 CPU 得到中断信号产生中断 操作系统就根据网 卡的驱动程序设置的网卡中断程序地址调用去定程序接收数据 驱动程序接收数据后放入信 号堆栈让操作系统处理 而对于网卡来说一般 有4 种接收模式 3 广播方式 该模式下的网卡能够接收网络中的广播信息 组播方式 该模式下的网卡能够接收组播数据 直接方式 该模式 只有目的网卡才能接收数据 混杂模式 该模式下的网卡能够接收一切通过它的数据 而不管数据是否是传给它的 现在总结一下 首先 在以太网中是基于广播方式传送数据的 也就是说 所有的物理 信号都要经过 我的计算机 再次 网卡可以置 为混杂模式 promiscuous mode 在这种 模式下工作的网卡能够接收到的一切通过它的数据 而不管实际上数据的目的地址是不是它 这实际上就是sniff 工作的基本原理 让网卡接收一切所能接收的数据 这样一来要实现一个sniff 程序应做下面几件事 a 把网卡置为混杂模式 b 捕获数据包 c 分析数据包 2 实例实现 用AppWizard 生成一个基于对话框的工程IPMon a 添加资源 添加一个ListControl 控件 负责显示sniffer 的结果 添加一个 查看 按钮负责激活 开始监听和终止监听 b sniffer 的实现 在IpMonDlg h 中 首先定义一些相关的结构和宏 另外还会申明一个线程函数为友 函数 负责监听网络数据报 在IpMonDlg cpp 中首先定义一些协议名城的数组和一个得到协议名称的函数 对话框的初始化函数OnInitDialog OnLookUp 查看 按钮的消息响应函数 OnOk 确定 的消息响应函数 当调用WSAIoctl 函数控制Socket 模式的时候有一些需要注意的事项 为了能够让 Socket 接收网络上所有的IP 包 传给WSAIoctl 函数的Socket 句柄必须设置成AF INET 地址簇 Soket RAW 的Soket 类型和IpPROTO Ip 协议 而且这个Socket 应该显式地绑定到本地的一个 端 口 3 局域网内消息发送部分的实现 实现原理 在Windows 2000 操作系统中有一个应用程序net send 它可以发送消息给其他的用户 计算机或者网络上的消息名 而接收方必须运行信使服务以接收消息 当然 net send 只能够把 消息发送到网络的活动节点 在命令窗口模式下调用 net send 命令就可以使用这个服务对本地局域网内发送消息 通过调用 MFC 的命令参数函数 创建一个命令窗口 并且设置该窗口的属性为不可见的 然后将文本编辑框内所获得的消息和目标地址加入到要发送的命令参数中去格式为 net send USERNAME MESSAGE 在开通信使服务的情况下就可以通过这个命令将消息发送出去 这个程序的实现只需要调用一个API CreateProcess 这是一个创建进程的函数 程序只 要能够调用起操作系统提供的Net Send 命令行即可 为了使用户在使用此方法时不陷入因为网络阻塞或网络延迟问题影响而出现的一直等 待的状态 所以在使用的过程中实际上使用了多线程的机制 也就是对于发送命令设置单 独的线程 一旦调用此方法的命令时就创建一个线程去完成发送消息的整个过程的工作 而不会使得系统资源被发送消息这个工作全部占用 那么 用户在发送消息的同时就可以 不用等待发送结果而去完成其它的工作 3 3 网络监测器的测试 网络监测器的测试 在本章内容中 将介绍对软件的一个简单测试并分析测试的结果 1 测试器材 交换机两台 S1 和 S2 路由器两台 R1 和 R2 串口线两根 主机四台 A1 A2 B1 B2 2 测试环境 我们主要是搭建一个广域网的环境 由主机 A1 主机 A2 交换机 S1 路由器 R1 组成 局域网 1 由主机 B1 主机 B2 交换机 S2 路由器 R2 组成局域网 2 然后两台路由器之 间用串口线相连 构成一个简单的广域网的环境 首先 我们利用超级终端对交换机 S1 S2 和路由器 R1 R2 进行初始化处理 然后对 主机和路由器分配 IP 和子网掩码如下所示 A1 10 10 10 10 255 255 255 0 B1 10 10 20 10 255 255 255 0 A2 10 10 10 20 255 255 255 0 B2 10 10 20 20 255 255 255 0 R1 R2 S0 10 10 30 1 255 255 255 0 S0 10 10 30 2 255 255 255 0 E0 10 10 10 1 255 255 255 0 E0 10 10 20 1 255 255 255 0 IP 这样分配的目的主要是让两个局域网处于不同的网段 让其相互访问时的情况 我 们连接的广域网的整体架构图如下所示 图 3 1 测试环境搭建示意图 在 B1 的主机上建立 FTP 服务器 从而实现文件传输的操作 3 局域网环境测试 让 B2 访问 B1 上的 FTP 服务器 进行传输文件的操作 并在 B1 和 B2 上各放置一个网 络测量器 其操作如下图所示 图 3 2 局域网访问示意图 经过测量得知 我们可以在两台主机上抓取用户名和密码 以及用户登陆时访问的文 件夹和其访问的权限 其中在 FTP 上抓包的效果图如下所示 B2B1 访问 网络测量 器 网络测量 器 图 4 3 局域网环境下抓包示意图 由图 4 3 我们看到 当 B2 访问 FTP 服务器时 我们抓到了 B2 登陆名和密码 以及源 IP 地址和目的 IP 地址 因为同在一个局域网中 所以交换机只是进行转发 故可以抓到 4 广域网环境测试 让局域网中的主机 A2 远程登录 FTP 服务器 分别在 A1 A2 B1 B2 上分别放置网络 监测器 主要是看抓包的情况 其中在 FTP 服务器上的抓包情况如下图所示 图 4 4 广域网环境下抓包示意图 由图 4 4 可见 我们抓到其用户名为 caicai 密码为 000000 源 IP 是 10 10 10 20 目的 IP 是 10 10 20 10 5 局域网内消息发送