局域網(wǎng)網(wǎng)絡(luò)流量捕獲方法的分析與研究

◆魯曉帆 余運(yùn)超 陳 灝

?

局域網(wǎng)網(wǎng)絡(luò)流量捕獲方法的分析與研究

◆魯曉帆 余運(yùn)超 陳 灝

（吉林建筑大學(xué)城建學(xué)院 吉林 130114）

本文主要分析了局域網(wǎng)網(wǎng)絡(luò)流量捕獲的幾種方法，概述了WinPcap的組成結(jié)構(gòu)及其相關(guān)重要函數(shù)的功能，介紹了局域網(wǎng)數(shù)據(jù)包捕獲原理，利用WinPcap技術(shù)捕獲數(shù)據(jù)包方法及實(shí)現(xiàn)步驟。

WinPcap；網(wǎng)絡(luò)流量捕獲；局域網(wǎng)

0 引言

局域網(wǎng)是在20世紀(jì)70年代末發(fā)展起來(lái)的，在計(jì)算機(jī)網(wǎng)絡(luò)中占有非常重要的地位，局域網(wǎng)有著資源便于共享、系統(tǒng)擴(kuò)展靈活、數(shù)據(jù)傳輸率高、較低的時(shí)延和較小的誤碼率等優(yōu)點(diǎn)，它被廣泛應(yīng)用于公司、校園、及企事業(yè)單位等。隨著網(wǎng)絡(luò)技術(shù)的發(fā)展和計(jì)算機(jī)的普及應(yīng)用，局域網(wǎng)是網(wǎng)絡(luò)中重要的組成部分，因此對(duì)局域網(wǎng)的優(yōu)化設(shè)計(jì)、性能優(yōu)化以及故障查找是亟待解決的問(wèn)題。

然而，要解決這些問(wèn)題，就要對(duì)局域網(wǎng)的網(wǎng)絡(luò)流量進(jìn)行分析研究，根據(jù)流量的分布需要調(diào)整負(fù)載均衡，通過(guò)分析來(lái)控制流量，提高交換機(jī)的轉(zhuǎn)發(fā)速率，及時(shí)調(diào)整網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)和網(wǎng)絡(luò)設(shè)備的選取等等。

本文主要研究局域網(wǎng)網(wǎng)絡(luò)流量捕獲的幾種方法，概述了WinPcap的組成結(jié)構(gòu)、及其相關(guān)重要函數(shù)的功能，介紹了局域網(wǎng)數(shù)據(jù)包捕獲原理，利用WinPcap技術(shù)捕獲數(shù)據(jù)包方法及實(shí)現(xiàn)步驟。

1 網(wǎng)絡(luò)流量捕獲方法的研究

網(wǎng)絡(luò)流量就是一段時(shí)間內(nèi)在網(wǎng)絡(luò)上進(jìn)行傳輸?shù)臄?shù)據(jù)包的數(shù)量，網(wǎng)絡(luò)流量就是網(wǎng)絡(luò)業(yè)務(wù)的具體表現(xiàn)形式，通過(guò)網(wǎng)絡(luò)流量的相關(guān)指標(biāo)可以準(zhǔn)確反映出當(dāng)前網(wǎng)絡(luò)性能狀況。因此，有效的網(wǎng)絡(luò)流量捕獲技術(shù)顯得尤為重要，通過(guò)對(duì)捕獲到的網(wǎng)絡(luò)流量信息進(jìn)行詳細(xì)的分析，可以優(yōu)化網(wǎng)絡(luò)性能，并最大限度地提高網(wǎng)絡(luò)資源利用率。

網(wǎng)絡(luò)流量捕獲技術(shù)是網(wǎng)絡(luò)流量監(jiān)測(cè)的基礎(chǔ)，也是優(yōu)化網(wǎng)絡(luò)性能、提高網(wǎng)絡(luò)利用率的重要手段，并滲透到網(wǎng)絡(luò)安全的各個(gè)領(lǐng)域。因此，日益成為人們研究的熱門領(lǐng)域并取得一定的成果，目前現(xiàn)有的網(wǎng)絡(luò)流量捕獲方法主要有以下四種：

1.1 基于硬件嵌入的網(wǎng)絡(luò)流量捕獲方法

在硬件領(lǐng)域，將報(bào)文過(guò)濾技術(shù)加載到交換機(jī)或路由器上是實(shí)現(xiàn)對(duì)網(wǎng)絡(luò)流量捕獲的一種方法。專用硬件有著高效的處理速度等諸多優(yōu)點(diǎn)，但是初期研發(fā)成本較高，而且不易實(shí)現(xiàn)。使用這種方法進(jìn)行網(wǎng)絡(luò)流量捕獲的同時(shí)還增加了額外的流量，加大了網(wǎng)絡(luò)負(fù)擔(dān)。并且無(wú)法統(tǒng)計(jì)整個(gè)局域網(wǎng)的網(wǎng)絡(luò)流量。

1.2 基于交換機(jī)鏡像端口的網(wǎng)絡(luò)流量捕獲方法

在交換環(huán)境下可以通過(guò)在根節(jié)點(diǎn)使用帶有鏡像功能的交換機(jī)來(lái)實(shí)現(xiàn)數(shù)據(jù)包捕獲功能，交換機(jī)進(jìn)行數(shù)據(jù)包捕獲的基本原理是設(shè)置把所有數(shù)據(jù)報(bào)都轉(zhuǎn)發(fā)到某一指定端口上[1]，在該端口上可以連接運(yùn)行網(wǎng)絡(luò)流量監(jiān)測(cè)程序的主機(jī)。此種方法雖然能夠?qū)崿F(xiàn)網(wǎng)絡(luò)流量的捕獲，但是同樣存在增加網(wǎng)絡(luò)負(fù)擔(dān)的缺點(diǎn)。捕獲到的流量并不是真實(shí)的情況，其中有正常的網(wǎng)絡(luò)流量外，還包括從其他交換機(jī)轉(zhuǎn)發(fā)到鏡像端口的那部分額外的網(wǎng)絡(luò)流量。

1.3 基于SNMP監(jiān)控的網(wǎng)絡(luò)流量捕獲方法

SNMP（Simple Network Management Protocol：簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議）是一種基于TCP/IP參考模型的應(yīng)用層互聯(lián)網(wǎng)網(wǎng)管協(xié)議。此協(xié)議能對(duì)互聯(lián)網(wǎng)中各種不同類型的設(shè)備進(jìn)行監(jiān)控和管理，并且對(duì)網(wǎng)絡(luò)中存在的問(wèn)題進(jìn)行定位。還可以監(jiān)控局域網(wǎng)網(wǎng)絡(luò)流量，其主要優(yōu)勢(shì)在于：在獲取信息的方面，可以直接從網(wǎng)絡(luò)對(duì)象中獲得流量，SNMP主要基于輪詢的方式。其次，在傳送層支持方面，SNMP基于無(wú)連接的UDP。此外，基于SNMP的方案可以保證網(wǎng)絡(luò)流量測(cè)量系統(tǒng)的通用性和可重用性。管理人員可根據(jù)實(shí)際流量情況進(jìn)行合理地設(shè)定采集時(shí)間間隔，定時(shí)捕獲相關(guān)信息。

1.4 基于WinPcap、Libpcap函數(shù)庫(kù)的網(wǎng)絡(luò)流量捕獲方法

Libpcap（Packet Capture Library）函數(shù)庫(kù)可以有效的捕獲到經(jīng)過(guò)指定網(wǎng)絡(luò)接口（只要經(jīng)過(guò)該接口，目標(biāo)地址不一定為本機(jī)）的數(shù)據(jù)包。由Berkeley大學(xué)Lawrence Berkeley National Laboratory研究院的Van Jacobson，Craig Leres和Steven McCanne編寫(xiě)，該函數(shù)庫(kù)支持Linux，Solaris和BSD系統(tǒng)平臺(tái)[2]，是一種與系統(tǒng)無(wú)關(guān)、采用分組捕獲機(jī)制捕獲網(wǎng)絡(luò)數(shù)據(jù)包的數(shù)據(jù)包捕獲函數(shù)庫(kù)。使用Libpcap編寫(xiě)的程序可自由地跨平臺(tái)使用。而WinPcap是Libpcap的Windows版本，集成于Windows95，98，ME，NT，2000和XP操作系統(tǒng)的設(shè)備驅(qū)動(dòng)程序，可以從網(wǎng)卡捕獲原始數(shù)據(jù)，同時(shí)能夠過(guò)濾、發(fā)送并且存儲(chǔ)數(shù)據(jù)包。是當(dāng)前使用最廣泛的數(shù)據(jù)包捕獲工具之一。

2 WinPcap概述

Winpcap（windows packet capture）是由意大利人Fulvio Risso和Loris Degioanni提出并實(shí)現(xiàn)的[3]。它是一個(gè)Windows平臺(tái)下捕包和網(wǎng)絡(luò)分析的體系架構(gòu)，WinPcap是一套免費(fèi)的基于Windows的網(wǎng)絡(luò)接口API，WinPcap是集成于Windows操作系統(tǒng)的設(shè)備驅(qū)動(dòng)程序，它可以從網(wǎng)卡捕獲或者發(fā)送底層原始數(shù)據(jù)，同時(shí)能夠過(guò)濾并且存儲(chǔ)數(shù)據(jù)包。它工作于驅(qū)動(dòng)（Driver）層，能以很高的效率進(jìn)行底層網(wǎng)絡(luò)操作。WinPcap的體系結(jié)構(gòu)如圖1所示，它包括三個(gè)部分[4]：

第一個(gè)模塊NPF（Netgroup Packet Filter）是一個(gè)虛擬設(shè)備驅(qū)動(dòng)程序文件。它直接與網(wǎng)卡驅(qū)動(dòng)程序進(jìn)行交互，獲取在網(wǎng)絡(luò)上傳輸?shù)脑紨?shù)據(jù)包。

第二個(gè)模塊packet.dll為win32平臺(tái)提供了一個(gè)公共的接口。Pactet.dll可以執(zhí)行如獲取適配器名稱、動(dòng)態(tài)驅(qū)動(dòng)器加載以及獲得主機(jī)掩碼及以太網(wǎng)沖突次數(shù)等低級(jí)操作。不同版本的Windows系統(tǒng)都有自己的內(nèi)核模塊和用戶層模塊，Packet.dll可以解決這些不同。調(diào)用Packet.dll的程序可以運(yùn)行在不同版本的Windows平臺(tái)上，而無(wú)需重新編譯。

第三個(gè)模塊Wpcap.dll提供了一組功能強(qiáng)大的函數(shù)，利用這些函數(shù)，可以不去關(guān)心適配器和操作系統(tǒng)的類型。Wpcap. dll含有諸如產(chǎn)生過(guò)濾器、定義用戶級(jí)緩沖以及包注入等高級(jí)功能。其中packet.dll直接映射了內(nèi)核的調(diào)用；Wpcap.dll提供了更加友好、更加強(qiáng)大的函數(shù)調(diào)用。

WinPcap的功能主要包括以下四個(gè)方面：

（1）捕獲網(wǎng)絡(luò)數(shù)據(jù)包。這是Winpcap函數(shù)庫(kù)的主要功能。它負(fù)責(zé)捕獲在網(wǎng)絡(luò)中傳輸?shù)乃袛?shù)據(jù)包，而不考慮數(shù)據(jù)包的源地址以及目的地址。

（2）過(guò)濾數(shù)據(jù)包。當(dāng)捕獲到數(shù)據(jù)包后，Winpcap會(huì)在將數(shù)據(jù) 包發(fā)往應(yīng)用程序之前，對(duì)數(shù)據(jù)包進(jìn)行過(guò)濾。具體過(guò)濾原則是由用戶按照需要事先定義好的過(guò)濾規(guī)則進(jìn)行數(shù)據(jù)包過(guò)濾的，不符合過(guò)濾規(guī)則的數(shù)據(jù)包將被過(guò)濾掉。

（3）發(fā)送原始數(shù)據(jù)包。將捕獲到的數(shù)據(jù)包發(fā)送給應(yīng)用程序，以便應(yīng)用程序進(jìn)一步分析。

（4）收集網(wǎng)絡(luò)通信過(guò)程中的統(tǒng)計(jì)信息。

圖1 WinPcap的體系結(jié)構(gòu)

3 網(wǎng)絡(luò)數(shù)據(jù)包捕獲的原理

以太網(wǎng)（Ethernet）具有共享介質(zhì)的特征，當(dāng)網(wǎng)絡(luò)適配器設(shè)置為監(jiān)聽(tīng)模式（混雜模式，Promiscuous）時(shí)，由于采用以太網(wǎng)廣播信道爭(zhēng)用的方式，使得監(jiān)聽(tīng)系統(tǒng)與正常通信的網(wǎng)絡(luò)能夠并聯(lián)連接，并可以捕獲任何一個(gè)在同一沖突域上傳輸?shù)臄?shù)據(jù)包。IEEE802.3 標(biāo)準(zhǔn)的以太網(wǎng)采用的是持續(xù) CSMA 的方式，正是由于以太網(wǎng)采用這種廣播信道爭(zhēng)用的方式，使得各個(gè)站點(diǎn)可以獲得其他站點(diǎn)發(fā)送的數(shù)據(jù)。以太網(wǎng)是當(dāng)今現(xiàn)有局域網(wǎng)采用的最通用的通信協(xié)議標(biāo)準(zhǔn)，局域網(wǎng)運(yùn)用這一原理使信息捕獲系統(tǒng)能夠攔截的我們所要的信息，這是捕獲數(shù)據(jù)包的物理基礎(chǔ)[5]。

4 WinPcap的主要函數(shù)及數(shù)據(jù)包捕獲流程

使用WinPcap函數(shù)庫(kù)進(jìn)行數(shù)據(jù)包捕獲的相關(guān)函數(shù)及流程如下：

（1）首先，獲得網(wǎng)絡(luò)接口設(shè)備列表并打開(kāi)指定端口。函數(shù)pcap_findalldevs_ex()，該函數(shù)用來(lái)獲取當(dāng)前網(wǎng)絡(luò)列表的信息，并將獲得列表的詳細(xì)信息都保存一個(gè)鏈表中，該鏈表的每一個(gè)節(jié)點(diǎn)都是采取pcap_if結(jié)構(gòu)的，并且網(wǎng)卡信息的詳細(xì)信息就保存在每個(gè)節(jié)點(diǎn)中。

（2）其次，設(shè)置過(guò)濾規(guī)則。用戶可以根據(jù)需要設(shè)置相應(yīng)的過(guò)濾規(guī)則，實(shí)現(xiàn)過(guò)濾規(guī)則的設(shè)置關(guān)鍵是通過(guò)對(duì)pcap_compile（pcap_t*p，char *str，struct bpf_program *fp，int optimize，bpf_u_int32 netmask）和pcap_setfilter（pcap_t *p，struct bpf_program *fp）兩個(gè)函數(shù)進(jìn)行正確的配置。

（3）再次，捕獲并解析網(wǎng)絡(luò)數(shù)據(jù)包。WinPcap為了滿足不同的需求情況提供了幾種捕獲數(shù)據(jù)包的函數(shù)以適應(yīng)各種需要，用戶可以根據(jù)自身的情況選擇合適的函數(shù)。pcap_loop（pcap_t *p，pcap_handler callback，int cnt，u_char *user）循環(huán)捕獲網(wǎng)絡(luò)數(shù)據(jù)包。

（4）最后，關(guān)閉WinPcap相關(guān)聯(lián)的文件并釋放相關(guān)資源：pcap_close()。

5 結(jié)束語(yǔ)

通過(guò)對(duì)局域網(wǎng)網(wǎng)絡(luò)流量捕獲方法的比較與分析，介紹4種網(wǎng)絡(luò)流量捕獲方法，展示了WinPcap 內(nèi)部結(jié)構(gòu)及實(shí)現(xiàn)原理等知識(shí)，說(shuō)明了WinPcap的主要函數(shù)及數(shù)據(jù)包捕獲流程，為下一步對(duì)數(shù)據(jù)包進(jìn)行捕獲和協(xié)議分析打下理論基礎(chǔ)，具有一定的理論研究意義和實(shí)際應(yīng)用價(jià)值。同時(shí)可以根據(jù)功能需求以此研究開(kāi)發(fā)獨(dú)立的網(wǎng)絡(luò)協(xié)議分析系統(tǒng)，進(jìn)行局域網(wǎng)網(wǎng)絡(luò)流量的分析及性能優(yōu)化。

[1]王月輝.基于WinPcap的網(wǎng)絡(luò)數(shù)據(jù)捕獲和分析系統(tǒng)的研究與實(shí)現(xiàn)[D].沈陽(yáng)：沈陽(yáng)工業(yè)大學(xué)，2007.

[2]劉格非，裴昌幸，朱暢華，權(quán)東曉.基于Linux的以太網(wǎng)數(shù)據(jù)包捕獲方法[J].現(xiàn)代電子技術(shù)，2006.

[3]Loris Degioanni. Development of an architecture for packet capture and network traffic analysis[M].http：// netgroup-serv.polito.it，2000.

[4]The Winpcap Team. The Winpap manual and tutorial for Winpcap 4.0 [EB/OL]. Http：//www.Winpcap.org /docs/docs_ 40/html/main.html，2006.

[5]徐美華，王振旗，韓秀娟.利用ARP欺騙實(shí)現(xiàn)網(wǎng)絡(luò)捕包[J].網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2005.

吉林省大學(xué)生創(chuàng)新創(chuàng)業(yè)訓(xùn)練計(jì)劃項(xiàng)目（2016263363）。