网络流量监控软件的设计与实现设计长沙理工大学《网络协议编程》课程设计报告网络流量监控软件的设计与实现xxx学院计算机与通信工程专业网络工程班级网络12-1 学号**********学生姓名xxxxxx 指导教师xxxxx课程成绩完成日期2015年9月25日课程设计成绩评定院系计算机与通信工程专业网络工程班级网络1201 学号xxxxxx学生姓名xxxxxx指导教师xxxxxx指导教师对学生在课程设计中的评价指导教师成绩指导教师签字年月日课程设计答辩组对学生在课程设计中的评价答辩组成绩答辩组长签字年月日课程设计综合成绩注:课程设计综合成绩=指导教师成绩×60%+答辩组成绩×40%课程设计任务书计算机与通信工程学院网络工程专业网络流量监控软件的设计与实现学生姓名:xxxxxx 指导老师:xxxxxx摘要互联网迅速发展的同时,网络安全问题日益成为人们关注的焦点,病毒、恶意攻击、非法访问等都容易影响网络的正常运行,多种网络防御技术被综合应用到网络安全管理体系中,流量监控系统便是其中一种分析网络状况的有效方法,它从数据包流量分析角度,通过实时地收集和监视网络数据包信息,来检查是否有违反安全策略的行为和网络工作异常的迹象。
在研究网络数据包捕获、 TCP/IP原理的基础上,采用面向对象的方法进行了需求分析与功能设计。
该系统在VisualC++6.0环境下进行开发,综合采用了Socket-Raw、注册表编程和IP助手API等VC编程技术,在系统需求分析的基础上,对主要功能的实现方案和技术细节进行了详细分析与设计,并通过测试,最终实现了数据包捕获、流量监视与统计主要功能,达到了预定要求,为网络管理员了解网络运行状态提供了参考。
关键词网络管理;数据采集;流量统计;Winsock2The Design and Implementation of Monitoring andAnalyzing Tool for Network TrafficStudent name: xxxxxx Advisor:xxxxxxAbstractWith the rapid development of Internet, network safety has become people’s concern, virus , vigorous attack, illegal visit and so on can easily affect the normal network performance. Various kinds of network defending technology have been comprehensively applied into th e management system of network safety. Network traffic system is one of the effective meas ures to analysis network condition. From the angle of analyzing packet traffic, it can exami ne the safety violation and the abnormal performance of network by timely collecting and monitoring packets information.By using the way of object-oriented, this design makes a needs analysis and ability designin g based on the study of network packet collecting and TCP/IP theory. Under the environme nt of Visual C++6.0, this system adopts VC program technologies of Socket-Raw, Windows register and IpHelper API. On the basis of system analysis, it makes a deliberate analysis a nd test of plans and details to implement packets collecting, traffic monitoring and statistic s. So this meets our needs and makes a reference for managers to get to know the network c onditions.Key words network management; data collection; traffic analysis; Winsock21 引言1.1背景随着构建网络基础技术和网络应用的迅速发展以及用户对网络性能要求的提高,使得网络管理成为迫切需要解决的问题,有效的网络管理能够保证网络的稳定运行和持续发展,更重要的是,随着网络规模的扩大和黑客技术的发展,入侵和攻击的案例日益增多,对稳定的网络服务、信息安全、互联网秩序都提出了严峻的挑战,网络安全管理在整个网络管理系统里扮演起更为重要的角色。
1.2网络流量监控的引入络安全管理体系中,流量监控和统计分析是整个管理的基础。
流量检测主要目的是通过对网络数据进行实时连续的采集监测网络流量,对获得的流量数据进行统计计算,从而得到网络主要成分的性能指标。
网络管理员根据流量数据就可以对网络主要成分进行性能分析管理,发现性能变化趋势,并分析出影响网络性能的因素及问题所在。
此外,在网络流量异常的情况下,通过扩展的流量检测报警系统还可以向管理人员报警,及时发现故障加以处理。
在网络流量检测的基础上,管理员还可对感兴趣的网络管理对象设置审查值范围及配置网络性能对象,监控实时轮询网络获取定义对象的当前值,若超出审查值的正常预定值则报警,协助管理员发现网络瓶颈,这样就能实现一定程度上的故障管理。
而网络流量检测本身也涉及到安全管理方面的内容。
由此可见,对于一个有效的网络安全管理系统来说,功能的实现都或多或少的依赖于流量信息的获取。
因此网络流量信息的采集可以说是网络安全管理系统得以实现的核心基石。
它的应用可以在一定程度上检测到入侵攻击,可以有效地帮助管理人员进行网络性能管理,并利用报警机制协助网管人员采取对应的安全策略与防护措施,从而减少入侵攻击所造成的损失。
1.3论文结构安排本论文围绕Winsock标准套接字网络编程的各项实践内容展开。
具体内容安排如下:第一章是引言,简要介绍开发背景、论文结构安排;第二章介绍数据包捕获与流量检测的技术原理;第三章重点介绍网络流量监测工具的设计与实现过程,并且详细阐述了从系统功能总体设计、详细设计、具体实现的全部过程。
2.网络数据采集技术的分析2.1 OSI参考模型与TCP/IP体系结构开放系统互联参考模型OSI是由国际标准化组织ISO制定的标准化开放式的计算机网络层次结构模型,其结构如图1所示。
可以看出,该结构共有七层,各层主要实现如下功能:(1)物理层,利用传输介质实现相邻节点间的物理连接,主要对机械、电气、功能和规程四个方面及信号传输速率方面进行规定;(2)数据链路层,完成管理数据的传输,提供差错检测和恢复,并且提供流量控制,最终实现向上一层提供无差错、高可靠性的传输链路;(3)网络层,执行路由算法和流量控制算法,完成数据分组传输,它是通信子网的最高层;(4)传输层,提供端到端的无差错传输,同时,它也提供属于局通信网络接口,比如SOCKET;(5)会话层,完成用户之间会话的组织、协调、分配用户名等;(6)表示层,解决数据格式问题,规定编码方式;(7)应用层,OSI的最高层,利用应用进程提供网络访问手段。
如图2.1所示:2.2 TCP/IP体系结构由于TCP/IP比其之前的OSI模型更具体实现,随着互联网的不断发展,遵循TCP/IP 结构的网络不断普及,因此现在通常采用TCP/IP代表Internet体系结构。
TCP/IP的目的是在网络标准不同的情况下解决互联问题,可以说,网络互联是TCP/IP的核心。
TCP/IP 的体系结构如图2.2所示:图2.2 OSI参考模型与TCP/IP结构TCP/IP在设计时重点并没有放在具体通信的实现上,所以对最后两层没有做出具体规定,同时表明它允许不同类型的通信网络参与通信。
它的四个层次功能如下。
(1)应用层,提供常用的应用程序及自定义的应用程序,数据传输时用TCP/IP协议来进行;(2)传输层,提供端到端的应用程序之间的通信,可以使用传输控制协议TCP (Transmission Control Protocol)或用户数据报协议UDP(User Datagram Protocol)协议,前者提供可靠传输,传送单位是报文段,后者提供不可靠服务,传输单位是数据报,即分组。
此外,传输层另外一个功能就是区别应用程序;(3)网际层,负责计算机之间的通信,采用的协议是IP协议,数据传送单位是分组,向上提供不可靠的传输服务;(4)网络接口层,负责接收数据报,并实现发送,或者接收帧,提取IP数据报,交给互联网层。
2.3OSI模型与TCP/IP体系结构的区别从前面的分析可以看出OSI模型和TCP/IP体系有许多不同之处,主要体现在问题的处理上面,例如:(1)TCP/IP一开始就考虑的是异构网络的互联问题,并将IP看作是整个体系的重要组成部分,而ISO并没有认识到网际协议IP的重要性,导致最后只能单独划分一个子层来完成IP的作用;(2)OSI最开始只注意到了面向连接的服务,而TCP/IP一开始就注意了面向连接和无连接的并重。
相比起来,TCP/IP更注重了数据传输的效率,而OSI则注重了传输的可靠性;(4)TCP/IP虽然分层,但是调用关系并不像OSI那样严格,减少了不必要的开销,提高了传输效率。
2.4 原始数据报捕获的实现网络上的数据包捕获机制主要依赖于所使用的操作系统,不同的操作系统下有不同的实现途径。
在Windows环境下,可通过网络驱动程序接口规范(NDIS),WinSock的SOCK_RAW或虚拟设备驱动技术(VxD)等技术实现网络数据包的捕获功能。
前面已经介绍到了,使用原始套接字可以绕过Socket提供的功能,对底层的协议进行使用与开发,可以根据自己的需要生成想要的数据报文等,下面开始介绍使用原始套接字对数据包捕获进行开发的相关技术知识。