基于IP层网络流量检测系统的设计.pptVIP

基于IP层网络流量检测系统的设计 网络流量检测 网络流量检测技术在现今的网络环境中起着举足轻重的作用。本文在分析研究网络监听和数据报捕获、协议分析的基础上，设计和实现了一个网络流量检测系统。 本文的主要工作包括以下几方面： 1)分析网络流量检测的技术原理，给出了系统的总体设计； 2)实现了基于WinPcap的网络截获数据包功能； 3)研究了网络数据包协议分析方法； 4)论述了网络数据包捕获过滤模型，分析其对截获数据包性能的影响 国内外的网络监听工具 1)Sniffer NAI公司出品的，可能是目前最好的网络协议分析软件之一，支持各种平台，性能优越。但不是免费的软件。 2)Winpcap Winpcap( windows packet capture)是UNIX下的libpcap移植到windows平台下一个免费，公共的网络访问系统。它是其他一些安全工具的应用基础。 网络的体系结构 IP数据包格式 TCP数据包格式 UDP数据包格式 WinPcap WinPcap（windows packet capture）是windows平台下一个买费的、公共的基于windows的网络接口API库。主要为win32应用程序提供访问网络底层的能力。Winpcap的主要功能在于独立于主机协议（如TCP/IP）发送和接收原始数据报。也就是说，Winpcap不能阻塞、过滤或控制其他应用程序数据报的收发，它只是监听共享网络上传送的数据报。其功能有： 1）捕获原始数据包，包括在共享网络上各主机发送接收的以及相互之间交换的数据包； 2）在数据包发往应用程序之前，按照自定义的规则将某些特殊的数据包过滤掉； 3）在网络上发送原始数据包； 4）收集网络通信过程中的统计信息。 WinPcap的关键函数 使用Winpcap开发数据包捕获程序主要使用以下几个关键的函数。 1)获取设备名称 char* pcap_lookupdev(char* errbuf) 该函数用于返回可被pcap_open_live()或pcap_lookupnet()等函数调用的网络设备名(一个字符串指针)。如果函数出错，则返回NULL，同时errbuf中存放相关的错误消息。 2)获取网络设备的网络号和掩码 int pcap_lookupnet(char* device,bpf_u_int32* netp,bpf_u_int32* maskp,char* errbuf) 该函数获得指定网络设备的网络号和掩码。netp参数和maskp参数都是bpf_u_int32指针。如果函数出错，则返回-1，同时errbuf中存放相关的错误消息。 3)打开设备 pcap_ t* pcap_open live(char* device, int snaplen, int promise,int toms,char* errbuf) 获得用于捕获网络数据包的数据包捕获描述字。device参数为指定打开的网络设备名。snaplen参数定义捕获数据的最大字节数。promise指定是否将网络接口置于混杂模式。to_ms参数指定超时时间(毫秒)。errbuf参数则仅在pear_open_live()函数出错返回NULL时用于传递错误消息。 4)编译过滤器 int pcap_compile(pcap_t* p, struct bpf_program* fp, char* str ,int optimize, bpf_u_int32 netmask) 将str参数指定的字符串编译到过滤程序中。fp是一个bpf_program结构的指针，在pcap_compile()函数中被赋值。optimize参数控制结果代码的优化。netmask参数指定本地网络的网络掩码。 5)设置过滤器 int pcap_setfilter(pcap_t* p ,struct bpf _program* fp ) 指定一个过滤程序。fp参数是bpf_pr ogram结构指针，通常取自pcap_co mpile()函数调用。出错时返回-1；成功时返回0。抓取下一个数据包。 6)捕获数据包 int pcap_dispatch(pcap_t* p ,int cnt,pcap_handler callback,u_char* user) 捕获并处理数据包。cnt参数指定函数返回R所处理数据包的最大值。cnt=-1表示在一个缓冲区中处理所有的数据包。cnt=0表示处理所有数据包，直到产生以下错误之一：读取到EOF；超时读取。callback参数指定一个带有三个参数的回调函数，这二个参数为：一个从pcap_dispatch()函数传递过来的u-char指针，一个pcap_pkthdr结构的指针，和一个数据包大小的u_char指针。如果成功则返回读取到的字节