湖南大学学报自然科学版).pdfVIP

第33卷 第2期 湖 南 大 学 学 报 (自然科学版) Vol.33,No.2 2006 年 4月 JournalofHunanUniversity(NaturalSciences) Apr.2006 文章编号:1000-2472(2006)02-0118-04 基于 WinPcap的实时网络监测系统 ‘ 谢 鱿，，张大方2，文吉刚 ，‘谢高岗3 (1湖南大学计算机与通信学院，湖南长沙 410082; 2.湖南大学软件学院，湖南长沙 410082; 3.中国科学院计算技术研究所信息网络研究室，北京 100008) 摘 要:实现了一个基于WinPcap的实时网络流量监测系统，完成了数据包级和流级 的流量指标，包括2-7层协议分布，不同协议的流量速率，包大小分布，不同聚集程度的流 分布，前N名的IP主机和主机对分布等;并提供网络运行状态的告警指标 实验结果表明， 对于100M以太网，基于WinPcap的软件捕获流量监测程序的处理上限为60000packet/s, 完全可以胜任 100M 以太网监测需求. 关键词:流量分析;被动网络测试;计算机网络;网络协议 中图分类号:TP393.07 文献标识码:A AReal-TimeNetworkMonitorSystemBasedonWinPcap XIEKuni，MANGDa-fang2，WENJi-gang，XIEGao-gang3 (1.CollegeofComputerandCommunication,HunanUniv,Changsha,Hunan 410082,China; 2.CollegeofSoftware,HunanUniv,Changsha,Hunan 410082,China; 3.InstituteofComputingTechnology,ChineseAcademyofSciences,Beijing 100080,China) Abstract:Thispaperprovidedareal-timenetworkmonitorsystembasedonWinPcap,whichsupported packetlevelandflowleveltrafficmetricssuchaslinkutilization,protocoldistributionin2一7protocollevels, variousaggravatedflowdistribution,topNIPhostandIPhostpair.Themonitorsystemalsosupportednet- workworryingandalertstatistics.Performanceevaluationshaveshownthatthemonitorsystemcanprocessup to60000packetspersecon100MEthernetlink.Thisdemonstratesthatthesoftwarenetworkmonitorsystem isapplicableto100MEthernetNetworks. Keywords:networktrafficanalysis;passivenetworkmeasurement;computernetwork;networkprotocols 网络测量是了解网络性能和行为特征，提高网 基于数据包捕获的被动流量监测由于可以提供 络使用效率的有效手段.网络测量按照是否向网络 不同粒度协议层次的网络运行状况信息，因而成为 中注人流量分为主动测量和被动测量两种.主动测 网络测量中最常用的方法.很多研究人员和硬件生 量中测量主机向网络发送探测数据包，通过测量主 产厂商试图通过专用硬件实现被动流量监测分析， 机或目的主