（7）BOOLEAN PacketReceivePacket(LPADAPTER AdapterObject, LPPACKET IpPacket, BOOLEAN Sync) 从 NPF 驱动程序读写网络数据包及统计信息。这个函数接收 的数据是一组Packets(也可以是网络流量的一个统计数据，依 赖于网卡的工作模式),接收到的Packet的数量可以变化。依赖 于当前存储在Driver缓冲区的Packet数目，这些packet的大小， 分配给IpPacket参数的缓冲区的大小。
7
2.Winpcap中用于数据捕获的函数
（3）BOOLEAN PacketGetNetType (LPADAPTER AdapterObject, NetType *type) 返回某个网络适配器的MAC类型。NetType 结构里包含 LinkSpeed(速度)和LinkType(类型)。
（4）LPADAPTER PacketOpenAdapter(LPTSTR AdapterName) 参数AdapterName为要打开的设备的名字。
流量测量的实现：
基于硬件的测量工具。指采用专门的设备或采集卡来收集和分析流 量，思博伦（Spirent）通信公司，endace公司。
基于软件的测量工具。采用软件来收集和分析数据，Tcpdump、 Windump、Sniffer和Etherreal等。
确定测量分析的级别（会话级，分组级）；确定测量的位置 （客户，路由器）和时间。
9
3.基于WinPcap捕获以太网数据包的过程 开始
首先搜索出主机所有可用的网络接口， 询问是否已指定数据采集接口，若已指是 定则打开此接口，否则列出所有接口并 提示用户选择。
是否已指定网 络接口？ 否
显示本机所有可用的网络 接口，提示用户选择
然后调用packet.dll中的函数通过设备 驱动程序采集数据，每获取一个数据包， 调用相应包处理函数，解析数据包内容。
填充进去。参数BufferSize表示pStr这块缓冲区的大小。返回 可以得到的网络适配器列表及描述。 （2）BOOLEAN PacketGetNetInfoEx(LPTSTR AdapterNames, npf_ip_addr *buff, PLONG Nentries) 返回某个网络适配器的全面地址信息。其中npf_ip_addr结构 包含IPAddress（IP地址）,SubnetMask（子网掩码）和 Broadcast（广播地址）。
（5）LPPACKET PacketAllocatePacket (void) 如果运行成功，返回一个_PACKET结构的指针，否则返回 NULL.
8
2.Winpcap中用于数据捕获的函数
（6）VOID PacketInitPacket(LPPACKET IpPacket, PVOID Buffer, UINT Length) 初始化一个_PACKET结构，Buffer是一个指向一块用户分配 的缓冲区的指针。捕获的数据将放置于此。Length表示缓冲区 的大小。这是一个读操作从Driver传递到应用的最大数据量。
投入商用。 网络路由的动态配置造成网络逻辑拓扑的动态变化。
传统的网络流量模型如泊松过程模型已不能反映实际的网络流量 特征。
2
8.1 概述
流量的自相似性（Self-Similarity）的发现引起了众多研究人 员的兴趣。
1994年Leland，Taqqu和Willinger在对Bellcore的局域网测 试和分析的基础上，发表了一篇开创性的论文“On the Selfsimilar Nature of Ethernet Traffic”，第一次明确的提出了网 络流量中存在着自相似现象。
第八章 网络流量测量与建模
1
8.1 概述
精确的网络流量模型可以帮助研究人员设计更好的网络协议、更 合理的网络拓扑结构、更高效的QOS保证手段和更智能的网络监 控系统，从而保证网络高效、稳定、高性能和安全的运行。
流量模型复杂化：
数据网络业务的高突发性、随机性以及网络业务类型不断多样化。 负载均衡(Load Balancing)等影响流量特征的技术和设备不断研制并
实现数据包捕获和发送，进行数据包过滤，
Wpcap.dll
用作监视引擎。
底层动态链接库packet.dll。
Packet.dll
用户层
提供了一个公共的底层应用程序接口。
高层动态链接库wpcap.dll。
提供了更加高层、抽象的函数，与libpcap 兼容，且不依赖于网络硬件和操作系统。
NPF 设备驱动
内核层
数据包
网络
6
2.Winpcap中用于数据捕获的函数
流量捕获中需要用到的函数，它们都在Packet.dll中定义。 （1）BOOLEAN PacketGetAdapterNames (LPSTR pStr,
PULONG BufferSize) 参数pStr表示一块用户负责分配的缓冲区，将把适配器的名字
4
8.2.1 Winpcap工作机理
Winpcap(Windows packet Capture)是Windows平台下一个 免费，公共的网络访问系统。
Winpcap独立于主机协议发送和接收原始数据包，它不能阻塞、 过滤或控制其它应用程序数据包的收发，只监听共享网络的数 据包。
主要有以下功能：
VBR 视频业务数据、广域网的业务数据、使用了7 号信令的共 路信令网上的业务数据、ATM 网络中传输的视频会议业务数据 和WWW业务数据……
3
8.2 网络流量测量方法
流量可以从两个角度来观察：
离散测量：收集固定时间间隔内的数据包，统计其个数和大小。 连续测量：测量记录相邻两个数据包之间的时间段长度。
捕获原始数据包。 在数据包发往应用程序之前，按照自定义的规则将某些特殊的数
据包过滤。 在网络上发送原始的数据包。 收集网络通信过程中的统计信息。
5
1.Winpcap的结构
数据包过滤器NPF(Netgroup Packet Filter)。
虚拟设备驱动程序，运行于操作系统内核
应用
内部，直接和网络接口驱动器打交道。