網絡流量監(jiān)控及分析工具的設計與實現畢業(yè)論文

1、畢業(yè)論文畢業(yè)論文 網絡流量監(jiān)控及分析工具的設計與實現網絡流量監(jiān)控及分析工具的設計與實現 摘摘 要要 互聯網迅速發(fā)展的同時，網絡安全問題日益成為人們關注的焦點，病毒、 惡意攻擊、非法訪問等都容易影響網絡的正常運行，多種網絡防御技術被綜合 應用到網絡安全管理體系中，流量監(jiān)控系統便是其中一種分析網絡狀況的有效 方法，它從數據包流量分析角度，通過實時地收集和監(jiān)視網絡數據包信息，來 檢查是否有違反安全策略的行為和網絡工作異常的跡象。 在研究網絡數據包捕獲、 tcp/ip 原理的基礎上，采用面向對象的方法進 行了需求分析與功能設計。該系統在 visualc+6.0 環(huán)境下進行開發(fā)，綜合采用 了 socke

2、t-raw、注冊表編程和 ip 助手 api 等 vc 編程技術，在系統需求分析的 基礎上，對主要功能的實現方案和技術細節(jié)進行了詳細分析與設計，并通過測 試，最終實現了數據包捕獲、流量監(jiān)視與統計主要功能，達到了預定要求，為 網絡管理員了解網絡運行狀態(tài)提供了參考。 關鍵詞關鍵詞：網絡管理；數據采集；流量統計；winsock2 the design and implementation of monitoring and analyzing tool for network traffic abstract with the rapid development of internet, netwo

3、rk safety has become peoples concern, virus, vigorous attack, illegal visit and so on can easily affect the normal network performance. various kinds of network defending technology have been comprehensively applied into the management system of network safety. network traffic system is one of the e

4、ffective measures to analysis network condition. from the angle of analyzing packet traffic, it can examine the safety violation and the abnormal performance of network by timely collecting and monitoring packets information. by using the way of object-oriented, this design makes a needs analysis an

5、d ability designing based on the study of network packet collecting and tcp/ip theory. under the environment of visual c+6.0, this system adopts vc program technologies of socket-raw, windows register and iphelper api. on the basis of system analysis, it makes a deliberate analysis and test of plans

6、 and details to implement packets collecting, traffic monitoring and statistics. so this meets our needs and makes a reference for managers to get to know the network conditions. key words: network management; data collection; traffic analysis; winsock2 目目 錄錄 論文總頁數：22 頁 1引言.1 1.1課題背景.1 1.2網絡安全管理的現狀與

7、需求.1 1.3網絡流量監(jiān)控的引入.1 1.4本文的目的與任務.2 1.5論文結構安排.2 2相關的概念與技術.2 2.1osi 參考模型與 tcp/ip 體系結構.2 2.1.1osi 參考模型.2 2.1.2tcp/ip 體系結構.3 2.1.3osi 模型與 tcp/ip 體系結構的區(qū)別.4 2.2傳輸層的編程接口windows 套接字編程技術 .4 2.2.1windows 套接字的概念 .4 2.2.2套接字類型.5 2.2.3涉及的幾個基本概念.5 2.3原始套接字.5 3網絡數據的采集技術分析.6 3.1windows 下原始數據包捕獲的實現 .6 3.2原始數據包捕獲的關鍵函數

8、.7 4網絡流量監(jiān)控系統各模塊的設計與實現.9 4.1開發(fā)背景介紹.9 4.2總體結構設計.9 4.3流程圖設計.10 4.4各模塊功能概述與實現.11 4.4.1數據包采集中各類的關系.11 4.4.2數據包捕獲與分析模塊.11 4.4.3流量獲取模塊.13 4.4.4數據統計模塊.17 4.4.5常見攻擊分析功能.18 5系統測試.19 5.1測試環(huán)境.19 5.1.1硬件環(huán)境.19 5.1.2操作系統及軟件運行環(huán)境.19 5.2測試步驟.19 5.3測試結果評價.19 結 論.19 參考文獻.20 致 謝.21 聲 明.22 1 1 引言引言 1.11.1 課題背景課題背景 隨著構建網絡

9、基礎技術和網絡應用的迅速發(fā)展以及用戶對網絡性能要求的 提高，使得網絡管理成為迫切需要解決的問題，有效的網絡管理能夠保證網絡 的穩(wěn)定運行和持續(xù)發(fā)展，更重要的是，隨著網絡規(guī)模的擴大和黑客技術的發(fā)展， 入侵和攻擊的案例日益增多，對穩(wěn)定的網絡服務、信息安全、互聯網秩序都提 出了嚴峻的挑戰(zhàn)，網絡安全管理在整個網絡管理系統里扮演起更為重要的角色。 1.21.2 網絡安全管理的現狀與需求網絡安全管理的現狀與需求 目前，在網絡應用不斷深入和技術頻繁升級的同時，非法訪問、惡意攻擊 等安全威脅也在不斷推陳出新，愈演愈烈。防火墻、vpn、ids、防病毒、身份 認證、數據加密、安全審計等安全防護和管理系統在網絡中得到

10、了廣泛應用。 從網絡安全專業(yè)管理人員的角度來說，最直接的需求就是根據分類在統一的界 面中監(jiān)視網絡中各種運行性能狀態(tài)，獲取相關數據信息、日志信息和報警信息 等，并進行分類匯總、分析和審計；同時完成攻擊事件報警、響應等功能。因 此，用戶的網絡管理需要不斷健全整體網絡安全管理解決方案，從統一安全管 理平臺總體調控配置到多層面、分布式的安全系統，實現對各種網絡安全資源 的集中監(jiān)控、策略管理、審計及多種安全功能模塊之間的互動，從而有效簡化 網絡安全管理工作，提升網絡的安全水平和可用性、可控制性、可管理性。 1.31.3 網絡流量監(jiān)控的引入網絡流量監(jiān)控的引入 網絡安全管理體系中，流量監(jiān)控和統計分析是整個管

11、理的基礎。 流量檢測主要目的是通過對網絡數據進行實時連續(xù)的采集監(jiān)測網絡流量， 對獲得的流量數據進行統計計算，從而得到網絡主要成分的性能指標。網絡管 理員根據流量數據就可以對網絡主要成分進行性能分析管理，發(fā)現性能變化趨 勢，并分析出影響網絡性能的因素及問題所在。此外，在網絡流量異常的情況 下，通過擴展的流量檢測報警系統還可以向管理人員報警，及時發(fā)現故障加以 處理。在網絡流量檢測的基礎上，管理員還可對感興趣的網絡管理對象設置審 查值范圍及配置網絡性能對象，監(jiān)控實時輪詢網絡獲取定義對象的當前值，若 超出審查值的正常預定值則報警，協助管理員發(fā)現網絡瓶頸，這樣就能實現一 定程度上的故障管理。而網絡流量檢

12、測本身也涉及到安全管理方面的內容。 由此可見，對于一個有效的網絡安全管理系統來說，功能的實現都或多或 少的依賴于流量信息的獲取。因此網絡流量信息的采集可以說是網絡安全管理 系統得以實現的核心基石。它的應用可以在一定程度上檢測到入侵攻擊，可以 有效地幫助管理人員進行網絡性能管理，并利用報警機制協助網管人員采取對 應的安全策略與防護措施，從而減少入侵攻擊所造成的損失。 1.41.4 本本文的目的與任務文的目的與任務 該網絡流量監(jiān)控及分析工具主要用途是通過實時連續(xù)地采集網絡數據并對 其進行統計，得到主要成分性能指標，結合網絡流量的理論，通過統計出的性 能指數觀察網絡狀態(tài)，分析出網絡變化趨勢，找出影響

13、網絡性能的因素。 本設計題目是教師自擬項目，前期任務主要是設計并完成系統的初步框架， 實現網絡數據的捕獲，并解決相應問題，后期主要是通過一些 api 函數完成對 各類數據信息的統計。 本系統實現以下功能：本系統實現以下功能：56 入庫入庫 入庫與出庫相反，其操作基本相同。代碼如下所示： % checklogin showtitle(title) getstorage(session(storage) if request(id) then session(name_id)=request(id) sql=select * from stock where name_id= 所有的通信在建立之前

14、都必須創(chuàng)建一個套接字，socket 函數的功能就是創(chuàng) 建套接字，其中參數 af 指協議地址族（address family） ，當建立的套接字是 依賴于 udp 或 tcp 的話，需要設置 af 為 af_inet,表示采用 ip 協議。參數 type 是指協議的套接字類型，采用流式套接字時用 sock_stream，采用數據報套接 字時用 sock_dgram，采用原始套接字時用 sock_raw。參數 protocol 是協議字 段，默認情況下可直接設置為 0。 （3）綁定函數 bind int bind ( socket s , struct sockaddr_in* name , in

15、t namelen); 成功創(chuàng)建套接字后的下一步工作就是將本地網絡接口與套接字進行綁定， 其中參數 s 是創(chuàng)建的套接字，參數 name 是需要綁定的通信對象的信息結構體指 針，namelen 是該結構的長度。需要注意的是 sockaddr_in 結構： struct sockaddr_in short sin_family; /地址族，設置為 af_inet unsigned short sin_port; /指定的端口號 struct in_addr sin_addr; /ip 地址 char sin_zero8; ; 由于主機序列與網絡序列的關系，在程序中需要使用 htons 等函數進行轉

16、 換工作。 （4）設置接口模式函數 wsaioctl int wsaapi wsaioctl(socket s, dword dwiocontrolcode, lpvoid lpvinbuffer, dword cbinbuffer, lpvoid lpvoutbuffer, dword cboutbuffer, lpdword lpcbbytesreturned, lpwsaoverlapped lpoverlapped, lpwsaoverlapped_completion_routine lpcompletionroutine); 其中，s 為一個套接口的句柄，dwiocontrolco

17、de 為操作控制代碼， lpvinbuffer 為輸入緩沖區(qū)的地址，cbinbuffer 為輸入緩沖區(qū)的大小， lpvoutbuffer 為輸出緩沖區(qū)的地址， cboutbuffer 為輸出緩沖區(qū)的大小，lpcbbytesreturned 為輸出實際字節(jié)數 的地址，lpoverlapped 為 wsaoverlapped 結構的地址，lpcompletionroutine 為一個指向操作結束后調用的例程指針。 調用成功后，wsaioctl 函數返回 0，否則的話，將返回 invalid_socket 錯誤，應用程序可通過 wsagetlasterror 來獲取錯誤代碼。 （5）數據接收函數 r

18、ecv int recv (socket s , char* buf ,int len , int flags); 4 4 網絡流量監(jiān)控系統各模塊的設計與實現網絡流量監(jiān)控系統各模塊的設計與實現 4.14.1 開發(fā)背景介紹開發(fā)背景介紹 本設計開發(fā)平臺采用 microsoft visualstudio6.0，它是目前使用比較廣 泛的 winsock 開發(fā)平臺，因此具有較強的適應性，能夠在很多的操作系統平臺 上運行，設計后具有直觀的簡潔的操作界面，穩(wěn)定性也比較高。 4.24.2 總體結構設計總體結構設計 通過收集與分析簡單網絡流量監(jiān)控軟件的用戶需求，總結出以下特征： （1）需要實現對網絡接口數據包的

19、盡可能多的捕獲，將網卡設置為混雜模 式，然后進行數據包的采集； （2）數據包的內容要進行一定的解析，對數據包的協議類型、源目地址、 數據包截獲時間、數據包內容需要進行分析； （3）根據用戶不同的要求能夠依照特定地址范圍、特定協議類型相關包等 條件進行自定義監(jiān)視； （4）監(jiān)視結果輸出有實時流量圖、列表等顯示； （5）實現日志記錄，便于日后分析； （6）對某些常見的攻擊進行發(fā)現分析。 總合以上系統要求與綜合分析，本系統總體設計如下，采用 vc+6.0 編寫， 系統具有三個主要功能部分：數據捕獲與顯示模塊、流量信息統計模塊、流量 繪制模塊，如圖 5 所示。 數據采集模塊：完成網絡接口數據的捕獲、解析

20、和顯示，可以根據用戶定 義條件組合來進行捕獲，如只監(jiān)視采用 tcp 或 udp 協議的數據包，也可以監(jiān)視 用戶希望關注的相關 ip 地址的數據包，同時完成數據封包日志記錄，提高了系 統的靈活性。同時，在對數據包的解析過程中對一些常見入侵攻擊特征進行判 斷，發(fā)出預警。該模塊采用編寫原始套接字開發(fā)。 信息統計模塊：完成統計功能，如統計 ip 要實現統計接收到的數據報數量、 接收到的數據中協議出錯的數量、正在請求傳輸的數量、路由表中可用路由數 量、丟棄的數量、需要重組/成功重組的數量等，統計 icmp 需要完成發(fā)送/接收 的消息數量、滿足超過 ttl 的數量、重定向數量、時間戳請求/應答數量等；采

21、用 ip 助手函數完成。 流量繪制模塊：完成總流量、輸入流量、輸出流量、瞬時流量值、最高流 量值的顯示；采用訪問注冊表網絡性能數據完成有關數據的獲取，通過流量圖 顯示。 4.34.3 流程圖設計流程圖設計 根據上面對各個功能模塊的劃分，進行更進一步的分析和設計，得到數據 采集、注冊表網絡性能塊訪問大致的工作流程圖，如圖 6 與圖 7 所示。 圖 5 系統總體設計結構圖 流量監(jiān)控分析系統 數據采集模塊信息統計模塊流量繪制模塊 4.44.4 各模塊功能概述與實現各模塊功能概述與實現 4.4.14.4.1 數據包采集中各類的關系數據包采集中各類的關系 經過上面的分析與設計，得到該系統的總體功能結構、

22、工作流程，也確定 了從編寫套接字到最后捕獲數據，要經過創(chuàng)建、綁定、設置工作模式、啟動線 程、接收數據等一系列的處理操作。為了實現處理中的每一步操作，設計了數 據捕獲的類關系，如圖 8 所示。 圖 6 數據捕獲處理流程 圖 7 網絡性能數據塊訪問流程 在上圖中 csocksupport，csockhelper ，cpackinterdlg，cbindatadlg 等 是封裝了各部分主要處理功能的類。且這些類中封裝了和這些類的操作相關的 方法。將在后面對這些類的功能和實現進行詳細介紹。 4.4.24.4.2 數據包捕獲與分析模塊數據包捕獲與分析模塊 （1）功能實現說明 該功能模塊主要由封裝的 cs

23、ocksupport，csockhelper ，cpackinterdlg，cbindatadlg 四個類完成，下面將 對這些類進行詳細說明。 csocksupport 類：主要負責檢查 socket 是否支 持 2.0 版本，在該類中封裝了 wsastartup 完成 socket 的啟動； csockhelper 類：主要實現了從獲取本機信息結 構、socket 創(chuàng)建、綁定、設置、啟動線程、數據接收 到協議分析的全部方法，詳細處理流程見圖 9 所示。 getlocalip 實現獲取本機地址操作的方法， lphostent lphp 是定義一個主機信息結構，獲取過程 由 gethostnam

24、e(szlocname,max_hostname_lan)與 gethostbyname(szlocname)完成；第一個參數是用于 放置本機名稱的緩沖，第二個參數是緩沖區(qū)長度，最 后利用 inet_ntoa 將 ip 地址轉化為“.”式地址。 startcapture 方法完成套接字的創(chuàng)建、綁定、設置操作方式和啟動線程； 具體完成如下： m_sockcap = socket(af_inet , sock_raw , ipproto_ip);/創(chuàng)建套接字 bind(m_sockcap, (psockaddr)/綁定 setsockopt(m_sockcap, sol_socket, so_re

25、useaddr, (char*)/設置操作 setsockopt(m_sockcap, ipproto_ip, ip_hdrincl, (char*)/設置操作 wsaioctl(m_sockcap,sio_rcvall,/混雜模 圖 8 數據包采集中各類的關系 圖 9 csockhelper 類處理流程 式 m_hcapthread = createthread(null, 0, capturethread, this, 0, null);/啟動線程 線程函數 capturethread 主要完成數據的接收。數據接收后，將緩沖區(qū)數 據轉化為 ip 數據格式后即可以開始解析過程，協議名稱獲取如

26、下： for(int i=0; ih_lenver /中斷進程 closehandle(m_hcapthread); /關閉句柄 m_hcapthread = null; if(m_sockcap) closesocket(m_sockcap); /關閉套接字 cbindatadlg 類主要完成對已捕獲數據的存儲和顯示方法；cpackinterdlg 類通過建立 cbindatadlg 類和 csockhelper 類對象實現數據捕獲、解析、顯示、 存儲等，同時它完成對捕獲條件設置控件、日志記錄控件的編寫，在這里就不 做詳細介紹了。 （2）界面設計（見圖 10） 4.4.34.4.3 流量獲取

27、模塊流量獲取模塊 （1）設計說明 設計思路：實際編程時，windows 系統內提供了一個系統性能的接口，只 需要訪問這個接口就可以得到網絡性能相關的數據，如流量；根據這個想法， 設計出了本功能模塊的子功能模塊如下： 訪問性能數據子模塊：負責對注冊表進行訪問，獲取流量數據； 顯示子模塊：負責將數據繪制在窗口中； 框架子模塊：負責消息映射和消息處理； 本模塊中，將使用到一個注冊表訪問函數 regqueryvalueex，它根據開放 的注冊表鍵值與名字查找相關的類型和數據。它的函數原型如下： long regqueryvalueex(hkey hkey , lpctstr lpvaluename ,

28、 lpdword lpreserved , lpdword lptype , lpbyte lpdata , lpdword lpcbdata); 參數說明： hkey 為預定的注冊表系統鍵值； lpvaluename 為需要查詢的目標鍵值的名字； lpreserved 保留，但是必須為 null； lptype 為鍵值類型； 圖 10 數據捕獲模塊界面 lpdata 輸入/輸出接收鍵值的數據； lpcbdata 輸入/輸出接收鍵值的緩沖大小標志。 在 windowsnt 下，當調用 regqueryvalueex 時，若 hkey 被設置為 hkey_performance_data 返回的

29、數據并不是直接顯示被請求的數據對象。所以 程序需要遍歷整個數據塊，數據塊中的邏輯結構如圖 11 所示。 參照圖 4-6 可以很容易地確定性能數據塊的查詢過程，從數據塊的性能數 據結構 perf_data_block 開始，然后索引到 perf_object_type 結構，而 perf_counter_definition 結構可以通過 perf_object_type 的成員 headerbytelength 找到位置偏移，每一個 perf_object_type 的成員 definitionlength 都能確定一個對應的 perf_instance_definition 結構， perf

30、_instance_definition 結構決定著 perf_counter_block 結構3。 下面列出了獲得網絡接口流量的部分關鍵代碼： /得到當前的接口名字 interfacename = interfaces.getat(pos); /開辟性能數據緩沖 unsigned char *data = new unsigned char default_buffer_size; /從 regqueryvalueex 返回的值:本例中忽略改變量 /從網絡對象(索引是 510)查詢性能數據 regqueryvalueex(hkey_performance_data, 510, null, 下

31、面詳細說明，注冊表數據性能塊訪問過程的實現： /枚舉鏈表中第一個對象 perf_object_type *objectptr = firstobject(datablockptr); /遍歷鏈表 圖 11 注冊表網絡性能數據塊邏輯結構 for(int a=0 ; anumobjecttypes ; a+) char namebuffer255; /判斷是否是網絡對象索引號是 510 if(objectptr-objectnametitleindex = 510) /偏移變量 dword processidoffset = ulong_max; /找到第一個計數器 perf_counter_de

32、finition *counterptr = firstcounter(objectptr); /遍歷鏈表 for(int b=0 ; bnumcounters ; b+) /判斷接收的數據類型是否是我們需要的 if(int)counterptr-counternametitleindex = currenttraffictype) processidoffset = counterptr-counteroffset; /下一個計數器 counterptr = nextcounter(counterptr); /數據類型不是我們需要的 if(processidoffset = ulong_ma

33、x) delete data; return 1; /找到第一個實例(instance) perf_instance_definition *instanceptr = firstinstance(objectptr); /遍歷整個實例 for(b=0 ; bnuminstances ; b+) wchar_t *nameptr = (wchar_t *) (byte *)instanceptr + instanceptr-nameoffset); /得到這個實例的 perf_counter_block perf_counter_block *counterblockptr = getcoun

34、terblock(instanceptr); /現在得到了接口的名字 char *pname = widetomulti(nameptr, namebuffer, sizeof(namebuffer); position pos = totaltraffics.findindex(b); if(pos!=null) fulltraffic = *(dword *) (byte *)counterblockptr + processidoffset); totaltraffics.setat(pos,fulltraffic); /如果當前的接口就是我們選擇的接口 if(interfacename

35、 = iname) traffic = *(dword *) (byte *)counterblockptr + processidoffset); /判斷處理的接口是否是新的 if(currentinterface != interfacenumber) lasttraffic = acttraffic; trafficdelta = 0.0; currentinterface = interfacenumber; else trafficdelta = acttraffic - lasttraffic; lasttraffic = acttraffic; delete data; retu

36、rn(trafficdelta); /下一個實例 instanceptr = nextinstance(instanceptr); /下一個對象 objectptr = nextobject(objectptr); delete data; return 0; catch(.) return 0; （2）界面設計（見圖 12） 4.4.44.4.4 數據統計模塊數據統計模塊 （1）可以利用微軟的 ip 助手中的 api 函數實現 ip 的統計，網絡管理員通 過統計的數據可以在一定程度上發(fā)現網絡性能瓶頸。涉及到的函數有 getudpstatistic,gettcpstatistic,geticm

37、pstatistic,getistatistic，需要 注意的是工程中要加載 iphelpapi.lib 庫。函數調用結果通過列表可以直觀顯 示出來，網絡管理人員可以通過其中統計數量的變化監(jiān)視網絡性能。 （2）界面設計（見圖 13） 圖 12 流量監(jiān)視模塊界面 4.4.54.4.5 常見攻擊分析功能常見攻擊分析功能 本設計中對部分常見的攻擊行為進行了分析，在類 csockhelper 中包解析 過程中加入了常見攻擊行為數據包的判斷和報警，比如 land、ping of death 等攻擊，部分實現代碼如下： if(pipheader-sourceip=pipheader-destip) pd=

38、1; else if(pipheader-total_len65535) pd=2; switch(pd) case 1:afxmessagebox(數據包源目的地址相同,疑是 land 攻擊); sprintf(slanderrip,請注意監(jiān)控該 ip 的數據：%s,szsourceip); afxmessagebox(slanderrip);break; case 2: afxmessagebox(受到疑似 ping 拒絕服務攻擊); sprintf(slanderrip,注意監(jiān)控源 ip 的數據：%s,szsourceip); afxmessagebox(slanderrip);brea

39、k; default:pd=0;break; 根據以后的開發(fā)需要，可設計更加豐富的規(guī)則對比庫進行更多報警分析。 實現更為完善的攻擊分析服務。 5 5 系統測試系統測試 5.15.1 測試環(huán)境測試環(huán)境 5.1.15.1.1 硬件環(huán)境硬件環(huán)境 圖 13 統計模塊界面 (1) 處理器 p4 2.0 g mhz 以上； (2) 內存 512m 以上； (3) 多臺普通搭載網卡的 pc、經過路由器或交換機互聯。 5.1.25.1.2 操作系統及軟件運行環(huán)境操作系統及軟件運行環(huán)境 (1) 操作系統 win2000/nt 等； (2) vc+6.0。 5.25.2 測試步驟測試步驟 (1) 首先，用多臺 p

40、c 搭建局域網絡。 (2) 其次，選定一臺 pc 進行測試:數據包捕獲（含設定條件） 、封包日志保 存、流量峰值、數據統計。 (3) 確定每個功能模塊的測試要求。 (4) 對每個功能模塊進行數據合法性檢查、數據一致性檢查。 (5) 進行各模塊的功能測試后，對關鍵模塊進行回歸測試。 5.35.3 測試結果評價測試結果評價 本設計在 win2000/nt 環(huán)境試運行下，編碼后經過多次測試并將發(fā)現的錯誤 及時修改，系統運行正常，基本達到設計目標，運行結果比較良好。 結結 論論 互聯網的迅猛發(fā)展，流量檢測和統計分析成為整個網絡安全管理系統的基 礎部分。網絡管理員可以根據數據流量的變化規(guī)律，發(fā)現網絡故障與攻擊行為， 及時采取措施，減少損失。 網絡流量分析系統是一個比較復雜的系統，由于時間關系，本設計只完成 了大概框架，通過編寫套接字、訪問注冊表等方法實現了部分主要功能，并沒 有完全完成詳