IP数据包流量统计

1、IP数据报流量统计学生姓名：讲师：摘要：本课程的设计主要是编写程序，监控网络，在一段时间内捕获网络上的IP包，统计这段时间内IP包源地址发送的IP包数量，并将其写入日志文件或以图形方式显示。程序中使用Winpcap，其主要功能是独立于主机协议发送和接收原始数据报。在本课程设计中，使用VC实现了基于Winpcap的网络数据包的捕获和统计，基于Winpcap的应用程序将根据获取的数据包获取网络设备列表；选择网卡并将其打开；设置过滤器；捕获数据包或发送数据包；列出网卡，让用户选择可用的网卡进行编写，更好的理解和掌握TCP/IP协议和IP数据格式。通过编程，可以实现网络中IP数据包流量的统计。关键词I

2、P数据包；交通统计；Winpcap。风险投资1导言随着互联网技术的发展，基于IP协议的应用已经成为网络技术研究和软件开发的重要基础。因此，学习网络层的基本概念和理解IP协议的基本内容，对于掌握TCP/IP协议的主要内容和学习网络课程非常重要。通过本课程设计，有助于熟悉IP数据包格式，加深对IP协议的理解。1.1课程设计的目的本课程设计的主要目的是通过VC编程实现网络中IP数据包流量的统计。实际上，它是编译程序、监控网络、在一段时间内捕获IP包，并根据IP包的源地址统计这段时间内源地址发送的IP包数量。同时，Winpcap提供了一种捕获网络数据包的好方法。通过本课程设计，可以将VC知识与Winp

3、cap相结合，实现一段时间内IP数据包流量的统计。它不仅加深了对Winpcap的理解和应用能力，而且增加了知识，拓宽了视野，对以后的学习有很大的帮助。1.2课程设计要求(1)利用虚拟仪器软件了解网络中IP数据流量的统计方法和步骤。(2)学习文献检索的基本方法和综合利用文献的能力。(3)通过课程设计培养严谨的科学态度和严谨的工作作风。1.3设计平台Microsoft Visual C 6.02设计原则IP是国际比较方案/IP协议体系中的网络层协议，其它协议如TCP、UDP、ICMP和IGMP都是基于IP协议的。程序中使用的Winpcap是Windows包捕获的简称，是在UNIX下移植到Windo

4、ws的lipbcap的产物，是Win32环境下包捕获的开放代码函数库。Winpcap由内核级数据包过滤器、底层动态链接库(packet.dll)和高级系统独立库(wpcap.dll)组成。2.1 IP协议IP是TCP/IP模型中的网络层协议，也称为互联网协议，它是支持网络间互连的数据报协议。它和TCP协议一起构成了TCP/IP协议家族的核心。它提供了完善的网络间连接功能，包括互联网中由IP数据报指定的IP地址格式。在互联网中，IP协议是一组规则，可以使所有连接到互联网的计算机网络相互通信，并规定了计算机在互联网上通信时应该遵守的规则。任何制造商生产的任何计算机系统都可以与互联网互连，只要它符合

5、IP协议。IP地址是唯一的，可以根据用户的不同性质分为不同的类别。IP协议的特点如下：(1) IP协议是一种不可靠的无连接数据报传输协议。(2) IP协议是一种点对点的网络层通信协议。(3) IP协议从通信层隐藏了物理网络的差异。(4) IP协议以数据报的形式传输数据。每个数据报都是独立传输的，并且可能通过不同的路径传输，因此可能会无序到达目的地或被复制。2.2关于Winpcap库Winpcap(windows数据包捕获)是下一个基于windows的昂贵的公共网络接口API库。它主要为win32应用程序提供访问网络底层的能力。Winpcap的主要功能是独立于主机协议(如TCP/IP)发送和接收

6、原始数据报。也就是说，Winpcap不能阻止、过滤或控制来自其他应用程序的数据报的发送和接收，它只是监听在共享网络上传输的数据报。因此，它不能用于服务质量调度程序或个人防火墙。其功能是：(1)捕获原始数据包，包括由共享网络上的主机发送和接收并相互交换的数据包；(2)在数据包发送到应用程序之前，根据自定义规则过滤掉一些特殊数据包；(3)在网络上发送原始数据包；(4)收集网络传播过程中的统计信息。Winpcap是win32平台上用于数据包捕获和网络分析的体系结构，它包括一个核心数据包过滤器、一个底层动态链接库(packet.dll)和一个高级系统独立库(wpcap.dll)。它由分组、NPF(网络

7、组分组过滤器)、packet.dll、wpcap.dll和应用组成。首先，数据包捕获系统必须绕过操作系统的协议来访问网络上传输的原始数据包，这要求其中一些数据包运行在操作系统的内核中，并直接与网络接口驱动程序交互。这部分取决于系统。在Winpcap的解决方案中，它被认为是一个叫做NPF的设备驱动程序。其次，包捕获系统必须具有用户级程序接口，通过该接口，用户程序可以利用内核驱动程序提供的高级特性。Winpcap提供了两个不同的库：packet.dll和wpcap.dll。前者提供了一个底层的应用编程接口，附带一个独立于微软操作系统的编程接口，可以直接用来访问驱动程序功能；后者派生出一组与libp

8、cap一致的更强大的高级数据包捕获函数库。这些功能使得数据包捕获方式独立于网络硬件和操作系统。3程序代码设计步骤根据上述设计原则，流量统计程序的主要功能模块如下图1所示：获取网络适配器列表选择要监控的网络适配器编译和设置过滤器将网络适配器设置为统计模式启动主循环并调用回调函数来显示网络流量统计图1交通统计程序的主要功能图中网络适配器列表主要是获取网卡的相关信息，如网卡数量、连接状态等。选择要监控的网络适配器意味着用户应该选择网卡；编译和设置过滤器是为了只捕获网络数据流中的一些数据；将网络适配器设置为统计模式意味着接受通过网卡的所有数据包，包括未发送到本机的数据包；下一个任务是开始调用主循环中的

9、回调函数来显示网络流量。根据流程设计程序的主要功能，相应的算法如下：(1)获取当前网络设备列表；(2)打开用户选择的作为混杂模式的网卡，接收所有数据包；(3)设置过滤器；(4)获取IP数据包的源地址并进行统计(采用链表结构)。根据上述算法得到的程序流程图如图2所示：选择以太网卡获取网卡列表打开网卡(混杂模式)编译设置过滤器捕获IP数据包将数据包源地址添加到链表中输出链接列表内容超时？目标开始图2程序流程图图中获取网卡列表，获取网卡的相关信息，方便用户选择。以太网卡是用户选择的网卡类型。编译和设置过滤器的目的是只捕获网络数据流中的一些数据。打开网卡不仅会将网卡设置为混合(统计)模式，还会接受通过

10、网卡的所有数据包，包括未发送到本机的数据包。主循环的启动由是否超时来判断。该循环主要包括捕获IP数据包，将IP数据包的源地址添加到链表中，判断条件，循环结束后输出链表内容。节目到此结束。现在每个步骤的具体步骤简述如下：3.1获取网络适配器列表/在获取网络适配器列表的步骤中，alldevs是pcap_if_it指针，指向链表的头，errbuf是char类型数组，它存储错误信息3。pcap_findalldevs(alldevs，errbuf)；Cout 网络适配器列表： n nfor(d=all devs；d；d=d-下一个)cout i: 名称；if(d-描述)cout“”描述；其他没有可用的

11、描述！ n；3.2指定要监听的网络适配器并将其打开Cout 输入要监控的网络适配器号： 分钟；对于(d=alldevs，I=0；不精确，I)；fp=pcap_open_live(d-name，65536，1，1000，err buf)；3.3编译和设置过滤器/编译过滤器，fp指向打开的网络适配器，fcode是编译后的过滤器的存储地址，“tcp”给出过滤器条件，下一个参数指示它是否被优化(0为假，1为真)，最后一个参数给出子网掩码。pcap_compile(fp，fcode，“tcp”，1，网络掩码)pcap_setfilter(fp，fcode)3.4将网络适配器设置为统计模式if(pcap_

12、setmode(fp，MODE_STAT)0)Cout 设置网络适配器模式时出错！ n ；pcap关闭(FP)；3.5启动主循环并调用回调函数来显示网络流量统计/pcap_loop由Winpcap库定义。每个收集的数据包都由ProcessPacket函数处理，fp指向开放网络适配器4pcap_loop(fp，0，dispatcher_handler，(PUCHAR)ST _ ts)；pcap关闭(FP)；3.6回调函数的实现/将此回调函数应用于每个捕获的数据包void dispatcher _ handler(u _ char * state，const struct pcap_pkthdr

13、*header，const u_char *pkt_data)struct time val * old _ ts=(struct time val *)状态；u_int延迟；大整数Bps，Ppsstruct tm * ltime充电时间tr16；time _ t local _ tv _ sec/计算前一个数据包的时间延迟，单位为毫秒。/该值是从与数据包相关联的时间戳中截取的延迟=(header-ts . TV _ sec-old _ ts-TV _ sec)*-old _ ts-TV _ usec header-ts . TV _ usec；/每秒获取位数。quad part=(*(lon

14、glonglong *)(PKT _ data 8)* 8 *)/(delay)；/获取每秒数据包的数量Pps。四边形部分=(*(LONGLONG *)(PKT _ data)*)/(延迟)；/将时间戳转换成比特可读的标准格式ltime=localtime(标头-ts . TV _ sec)；str time(time tr，sizeof timestr， %H:%M:%S ，ltime)；/打印时间戳printf(“% s”，timestr)；/打印样本printf(BPS=%I64u)，BPS。四部分)；printf(PPS=%I64un ，PPS。四部分)；/存储当前时间戳old _ t

15、s-TV _ sec=header-ts . TV _ sec；old _ ts-TV _ usec=header-ts . TV _ usec；4结果和分析安装WinPcap软件，并在虚电路界面上单击工具-选项-目录。添加包含文件夹下的所有文件和库下的所有内容。调试完程序后，点击开始-运行“cmd”进入目标文件夹，在调试下运行IPI.EXE文件，并添加参数2bl.txt.这时，程序会检测计算机系统中网卡的数量，然后在程序运行时选择网络接口，耐心等待两分钟，得到程序的运行结果。图3系统中网络接口的数量图3显示了程序运行后系统中网络接口的数量。图4选择第三个网络接口图4显示了选择第三个网络接口的命令行。图5两分钟后捕获的IP地址和数据包图5显示了程序运行两分钟后捕获的IP地址和数据包信息。5问题和解决方案在本课程设计的开始，我只写了主要的程序代码，但没有构建项目。后来，我发现我想通过查找数据和文献来构建一个C应用程序项目，并且程序中没有使用Winpcap库文件C。我需要自己下载WinPcap_4_1_1.exe和WpdPack_4_1_1.zip。前者是Winpcap的开发程序。后者包括文件和库文件，需要手工添加。在VC 6.0中，这里的include和lib文件夹中没有任何内容，但是错误：无法打开include文件3360 pcap.h :没有出现这样的文件