WinPcap技术在网络流量监测中的应用.doc

WinPcap技术在网络流量监测中的应用
摘要:介绍计算机网络流量监测技术与方法,研究WinPcap包截获系统的结构及其主要功能,并阐述基于WinPcap捕获和分析网络数据包的方法和主要步骤。基于WinPcap包截获系统具有结构简单、捕获数据快、协议识别率高等特点,它的三个模块互相配合,实现了网络数据获取的基本功能。
关键词:WinpCap;流量监测;数据包捕获
中图分类号:TP393文献标识码:A文章编号:1009-3044(2011)31-0000-0c
Application of WinPcap in work Traffic Monitoring
ZHANG Xue-jun,XU Yuan
( of Things Department of Jiangnan University, Wuxi 214122, China)
Abstract: Introduction work traffic monitoring technology and flow monitoring methods, the main study the WinPcap packet capture system structure and its main function, based on the WinPcap packet capture system with simple structure, fast data capture, protocol recognition rate, etc., which of the three plement each other to achieve the basic functions of data work, describes work based on WinPcap packet capture and analysis methods and the main steps.
Key words: WinpCap; network traffic monitoring system; packet capture
目前互联网已经非常普及,有关网络的应用也越来越多,从浏览网页和收发邮件,到打游戏,聊天,看电影,听音乐,打电话包罗万象。电视网和电话网能够做的事情,现在宽带网也能够做到了,同时宽带网还能够做电视网,电话网以外的许多事情。而这一切,都是靠信息在网络上的流动来实现的。汽车在马路上跑,常常会引起交通堵塞以及不遵守交通规则等现象,因此需要交通部门来实时监测道路情况和处理突发事件。同样网络流量也需要监测和控制,通过监控可以对网络状态进行合理调节或配置、保证网络高效运行、提高网络资源的利用效率、也可以用于对网络用户行为和网络业务的分析。网络流量监测是网络管理的重要组成部分,而数据报捕获又是网络流量监测的前提。
1 流量监测与分析技术概述
网络流量监测
网络流量指通过网络的数据量,是衡量网络性能的重要参数。网络监测就是通过一定的方法获取网络流量数据,而这些流量数据的采集是进一步分析网络负载性能以及网络的安全性的前提。网络流量的监测是网络测量中的重要技术之一,网络流量监测系统大致上可以分为流量采集、流量分析和流量控制三个方面。

流量监测分析的方法及分类
流量监测系统通常是根据对网络流量某个特定方面的分析来设计的,正是由于需要分析的内容不同,就产生了各种网络流量监测方法,这些方法主要分为基于主机内嵌软件的方法、基于SNMP的流量监测方法、flow的流量监测方法、基于硬件探针的监测方法等。
基于主机内嵌软件的方法
主机内嵌软件的方法是指在主机内安装流量检测软件来完成流量检测任务。主机操作系统中,一般会把网络通信功能功能实现在相对独立的软件模块,例如设备驱动程序中。主机与网络的通信一般是通过对调用软件套接字Socket来实现。因此在这个位置上嵌入一个软件就可以通过检测对通信模块的调用来截获往返通信的主要内容,目前有许多软件实现这一功能。Windows 操作系统下的检测软件WinPcap,实现了基本的报文截获功能,可自由下载使用,成为了许多流量监测软件的基本组成部分。
基于SNMP的流量监测方法
SNMP用于对网络设备的管理,几乎所有的网络设备都具备该能力,基于
SNMP的流量信息采集方法,实质上是用软件提取存储在网络设备上的流量信息,该方法配置简单,成本较低,基于SNMP收集的网络流量信息只包括字节数、报文数等基本的流量信息,不能满足复杂的流量监测要求。
flow的流量监测方法
Netflow是Cisco公司提出的专业的流量监测的技术标