IP数据包流量统计

IP数据报流量统计

学生姓名：     指导老师： 

摘  要  本课程设计主要是编制程序，监控网络，捕获一段时间内网络上的IP数据包，按IP数据包的源地址统计出该源地址在该时间段内发出的IP包的个数，将其写入日志文件中或用图形表示出来。程序中会用到Winpcap，它主要功能在于于主机协议发送和接收原始数据报。本次课程设计中用VC++实现基于Winpcap的网络数据包的捕获和统计，基于Winpcap的应用程序将根据获取网络设备列表；选择网卡并打开；设置过滤器；捕获数据包或者发送数据包；列出网卡列表，让用户选择可用的网卡的步骤进行编写，同时对于TCP/IP协议以及IP数据抱的格式有了进一步的了解和掌握。通过编写程序从而实现对网络中IP数据包流量的统计。

关键词  IP数据包；流量统计；Winpcap；VC++

1 引  言

随着Internet技术的发展，基于IP协议的应用成为网络技术研究与软件开发的一个重要基础，因此学习网络层以基本概念，了解IP协议的基本内容，对于掌握TCP/IP协议的主要内容和网络课程的学习是十分重要的，通过本次课程设计，有助于熟悉IP数据包格式并加深对IP协议的理解。

1.1 课程设计目的

本次课程设计主要是通过用VC++编程实现对网络中IP数据包流量的统计，实际上是编制程序，监控网络，捕获一段时间内网络上的IP数据包，按IP数据包的源地址统计出该源地址在该时间段内发出的IP包的个数，同时应用Winpcap，Winpcap提供了很好的捕获网络数据包的方法，通过本次课程设计可以将VC++知识与Winpcap结合起来实现在一段时间内对IP数据包的流量进行统计。加深了对Winpcap的理解和运用能力，同时也增长了知识，开阔了视野，对于以后的学习有很大的帮助。

1.2 课程设计的要求

（1）理解运用VC++软件实现对网络中的IP数据抱流量的统计方法和步骤。

（2）学会文献检索的基本方法和综合运用文献的能力。

（3）通过课程设计培养严谨的科学态度，认真的工作作风。

1.3 设计平台

    Microsoft Visual C++ 6.0

2 设计原理

IP是ICP/IP协议体系中的网络层协议，TCP、UDP、ICMP和IGMP等其他协议都是以IP 协议为基础的[1]。程序中用到的Winpcap是 Windows packet capture的缩写，这是UNIX下的lipbcap移植到Windows下的产物，是Win32环境下数据包捕获的开放代码函数库。Winpcap由内核级的数据包过滤器，底层动态链接库（packet.dll）和一个高层的于系统的库（wpcap.dll）组成。

2.1  IP协议

IP是TCP/IP模型中的网络层协议，又称为互联网协议，是支持网间互连的数据报协议，它与TCP协议一起构成了TCP/IP协议族的核心。它提供网间连接的完善功能，包括IP数据报规定互联网范围内的IP地址格式[2]。在因特网中IP协议是能使连接到网上的所有计算机网络实现相互通信的一套规则，规定了计算机在因特网上进行通信时应当遵守的规则。任何厂家生产的计算机系统，只要遵守IP协议就可以与因特网互连互通。IP地址具有唯一性，根据用户性质的不同，可以分为不同的类别。

IP协议的特点如下：

（1）IP协议是一种不可靠、无连接的数据报传送协议。

（2）IP协议是点对点的网络层通信协议。

（3）IP协议向通信层隐藏了物理网络的差异。

（4）IP协议以一种数据报的形式传输数据，每个数据报传输，可能通过不同路径传输，因此可能不按顺序到达目的地，或者出现重复。

2.2 关于Winpcap库

Winpcap（windows packet capture）是windows平台下一个买费的、公共的基于windows的网络接口API库。主要为win32应用程序提供访问网络底层的能力。Winpcap的主要功能在于于主机协议（如TCP/IP）发送和接收原始数据报。也就是说，Winpcap不能阻塞、过滤或控制其他应用程序数据报的收发，它只是监听共享网络上传送的数据报。因此，它不能用于QoS调度程序或个人防火墙。其功能有：

（1）捕获原始数据包，包括在共享网络上各主机发送接收的以及相互之间交换的数据包；

（2）在数据包发往应用程序之前，按照自定义的规则将某些特殊的数据包过滤掉；

（3）在网络上发送原始数据包；

（4）收集网络通信过程中的统计信息。

    Winpcap是针对win32平台上的抓包和网络分析的一个架构，它包括一个核心态的包过滤器，一个底层的动态链接库（packet.dll）和一个高层的不依赖于系统的库（wpcap.dll）。它由Packet、NPF（Netgroup Packet Filter）、packet.dll、wpcap.dll、Application组成，首先，抓包系统必须绕过操作系统的协议来访问在网络上传输的原始数据包，这就要求一部分运行在操作系统核心内部，直接与网络接口驱动交互。这个部分是系统依赖的，在Winpcap的解决方案里它被认为是一个设备驱动，称作NPF。其次，抓包系统必须有用户级的程序接口，通过这些接口，用户程序可以利用内核驱动提供的高级特性。Winpcap提供了两个不同的库：packet.dll和wpcap.dll。前者提供了一个底层API，伴随着一个于Microsoft操作系统的编程接口，这些API可以直接用来访问驱动的函数；后者导出了一组更强大的与libpcap一致的高层抓包函数库。这些函数使得数据包的捕获以一种与网络硬件和操作系统无关的方式进行。

3 程序代码设计步骤

根据以上设计原理可以得到流量统计程序的主要功能模块如下图1：

图 1  流量统计程序的主要功能

图中取得网络适配器列表主要是得到网卡的相关信息，即网卡的个数、连接情况等，选择要监听的网络适配器就是要用户选择网卡，编译并设置过滤器是为了只捕获网络数据流的某些数据，将网络适配器设置为统计模式就是接受所有经过网卡的数据包，包括不是发给本机的数据包，接下来的任务就是开始主循环调用回调函数来显示网络流量了。

根据流量设计程序的主要功能，相应的算法如下：

（1）取得当前网络设备列表；

（2）将用户选择的网卡以混杂模式打开，以接收到所有的数据包；

（3）设置过滤器；

（4）捕获IP数据包的源地址进行统计（用链表结构进行实现）。

根据以上算法得到的程序流程图如图2：

图2  程序流程图

    图中获取网卡列表是为了得到网卡的相关信息，以便于用户进行选择，选取Ethermet网卡是用户所选择的网卡类型，编译设置过滤器是为了编译并设置过滤器是为了只捕获网络数据流的某些数据，打开网卡既将网卡设置为混杂（统计）模式是为了接受所有经过网卡的数据包，包括不是发给本机的数据包，开始主循环以是否超时为判断条件，循环体内主要有捕获IP 数据包、将IP包的源地址加入链表、条件判断，循环结束后输出链表内容，程序至此结束。

现将其每一步的具体步骤简述如下：

3.1取得网络适配器列表

//取得网络适配器列表步骤中，alldevs是pcap_if_it指针，指向链表头，errbuf是char类型数组，存储错误信息[3]。

pcap_findalldevs(&alldevs,errbuf);

cout<<”网络适配器列表:”<<’\\n’;

for(d=alldevs;d;d=d->next)

{

cout<<++i<<":"<name;

if (d->description)

cout<<""<description;

        else

cout<<"No description available!"<<'\\n';

    }

3.2 指定要监听的网络适配器并打开

cout<<”输入要监听的网络适配器号:”<cin>>inum;

for(d=alldevs,i=0;inext,i++);

fp=pcap_open_live(d->name,65536,1,1000,errbuf);

3.3 编译并设置过滤器

//编译过滤器，fp指向打开的网络适配器，fcode为编译完成后的过滤器存储地址，“tcp“给出了过滤条件，下一个参数表示是否被优化（0为false,1为true），最后一个参数给出了子网掩码。

pcap_compile(fp,&fcode,”tcp”,1,netmask)

pcap_setfilter(fp,&fcode)

3.4 设置网络适配器为统计模式

   if(pcap_setmode(fp,MODE_STAT)<0)

{

cout<<”\\n设置网络适配器模式错误!\\n”;

   pcap_close(fp);

}

3.5 开始主循环，调用回调函数显示网络流量统计信息

//pcap_loop由Winpcap库定义，对每个采集来的数据包都用ProcessPacket函数进行处理，fp指向打开的网络适配器[4]

pcap_loop(fp,0,dispatcher_handler,(PUCHAR)&st_ts);

pcap_close(fp);

3.6 回调函数的实现

//对于捕获到的每一个数据包应用此回调函数

void dispatcher_handler(u_char *state,const struct pcap_pkthdr *header,const u_char *pkt_data)

{

  struct timeval *old_ts=(struct timeval *)state;

  u_int delay;

  LARGE_INTEGER Bps,Pps;

  struct tm *ltime;

  char timestr[16];

  time_t local_tv_sec;

//计算距上一个数据包的时间延迟，以ms为单位

//这个值是从与一个数据包相关的时间戳中截获的

delay=(header->ts.tv_sec-old_ts->tv_sec)*1000000-old_ts->tv_usec+header->ts.tv_usec;

//获得每秒的比特数         Bps.QuadPart=(((*(LONGLONG*)(pkt_data+8))*8*1000000)/(delay));

//获得每秒的数据包数

Pps.QuadPart=(((*(LONGLONG*)(pkt_data))*1000000)/(delay));

//将时间戳转变位可读的标准格式

ltime=localtime(&header->ts.tv_sec);

strftime(timestr,sizeof timestr,"%H:%M:%S",ltime);

//Print timestamp

printf("%s",timestr);

//Print the samples

printf("BPS=%Iu",Bps.QuadPart);

printf("PPS=%Iu\\n",Pps.QuadPart);

//store current timestamp

old_ts->tv_sec=header->ts.tv_sec;

old_ts->tv_usec=header->ts.tv_usec;

};

4 结果及分析

安装好WinPcap软件，在VC++界面上点击工具->选项->目录。添加Include文件夹下的所有文件和Lib下的所有内容，调试完程序无误后，点击开始—>运行“cmd”进入目标文件夹Debug下运行IPI.EXE文件并加入参数2 bl.txt。此时程序会检测电脑系统中的网卡数，然后选择程序运行时的网络接口,耐心等待两分钟后就会得到程序的运行结果.

图3  系统中网络接口数

    图3为程序运行之后系统中的网络接口数。

图4  选择第三个网络接口

     图4为选择第三个网络接口的命令行。

图5  两分钟之后捕获的IP地址和数据包

    图5为程序运行后两分钟之后捕获的IP 地址和数据包的信息。

5 出现的问题及解决方法

在刚开始做此课程设计的时候我只编写了主程序代码，并没有建立工程，后来通过查找资料及文献才知道要建立一个C++应用工程，而且程序中用到的Winpcap库文件C++中并没有，需要自己下载WinPcap_4_1_1.exe和WpdPack_4_1_1.zip，前者是Winpcap的开发程序，后者是inlude文件和lib文件，这些都是需要自己手动添加的，这里include和lib文件夹里的东西VC++6.0里面没有，出现error:Cannot open include file:’pcap.h’:No such file or directory这个问题，就需要添加。具体步骤如下：

第一步：

点菜单栏上的“工具“，再点击下拉菜单中的”选项“对话框

把winpcap开发包里面的lib文件添加进去。

第二步：

点击菜单栏里的工程——设置，选择连接

在对象/库模块中输入wpcap.lib和packet.lib，再点C/C++

在“预处理程序定义”下输入WPCAP和HAVE_REMOTE,要用逗号隔开。

至此，Winpcap环境已部署好了不会再出错了。

接下来出错的是程序中的一些函数的参数，比如说int pcap_compile(pcap_t *p, struct bpf_program *fp,char *str,int optimize, bpf_u_int32 netmask)，int pcap_setfilter(pcap_t *p, struct bpf_program *fp)函数的参数在程序编译的时候会报错，通过搜集资料及与同学交流初步更正了错误，但是程序并不是很顺利地运行出来。

6 结束语

为期两周的课程设计在老师和自己的努力下很快地结束了，在此期间老师给了我们很大的帮助，老师的认真负责让我们不再马马乎乎对待自己的学业，在课堂上老师也以同样的责任心来督促我们认真学习，对于不懂的问题都会一一解答，现在也如此，这对于我们以后步入社会之后有很大的帮助，无论做任何事情都要认真负责，对自己负责同时也对别人负责。

在老师的指导之余我还认真学习了其它课本上未曾提到过的知识，比如说网络编程方面的知识，这是我们以前所没有接触过的，虽然说这给了我们很大的一个问题但是也同时给了我们一个很好的挑战自己的机会，以前从未听过Winpcap，现在我知道了它对于捕获网络上的一些数据信息很有帮助，从而丰富了我的知识，同时也知道了如何去利用它来为自己服务，这是一个很大的进步。

在自己查找资料的同时也锻炼了我及时捕获有用知识的能力，我想这是我现在乃至以后最大的一个财富，一个人最重要的就是要懂得如何去学，学习不是被动的，而是主动的，只有这样我们才能学得到对于我们自己有帮助的东西，用VC++编程实现IP数据报流量统计，开始这对于我来说是是一个很模糊的概念，但是当我在查找了很多资料之后我不再迷茫，而是慢慢跟着我所要找的资料来靠近我所要达到的目标。这是我们每个人所要学会的。

这次的课程设计也使我意识到了理论与实践相结合的重要作用，学习到知识应该应用到实践中。在此次的课程设计过程中，熟悉IP包格式和加深对IP协议的理解,告诉我们要不断地学习计算机方面的知识，精益求精，如今是信息化的时代，在Internet相当发达的今天，网络编程技术也变的越来越重要，我们更应不断地提高自己的水平，在每次的程序中能够有更多的领悟。也让自己在程序的编译和应用上可以有更大一步的提高。要更好的学习计算机网络和其他方便的有关知识，做到精益求精。

了解IP协议的基本内容，对于掌握TCP/IP协议的主要内容和学习网络课程是十分重要的，通过本次课程设计，有助于熟悉IP包格式和加深对IP协议的理解。学好计算机及各种汇编语言会使我们受益匪浅。

在这两周的课程设计中我学到了很多知识，首先，要有理论做实践的指导才会很快很好地达到自己的目的，而且勤于学习和思考是一个很好的习惯，要将知识学得很扎实才会灵活运用，这同时也是我们所必须的，一切新科技的发现都是这样的；再次，一切事情都要勤于向有经验的人取经，这样才能少走弯路；最后，要珍惜和同学一起讨论和思考的机会，自己的同学是自己最好的帮手，在讨论和争辩中往往会使自己有了很好的想法。

虽然课程设计结束了，但是我们的学习还没结束，对知识的进一步学习还需要继续。

参考文献

[1] 谢希仁.计算机网络（第五版）.北京：电子工业出版社，2009

[2] 佟震亚.现代计算机网络教程（第二版）.北京：电子工业出版社，2003

[3] 周霭如.C++程序设计基础（第二版）.北京：电子工业出版社，2008

[4] 孟威，刘慧宁.C++程序设计教程（第三版）.北京：机械工业出版社，2009

附录1：IP包头部结构

sruct ip_header

{

Unsigned char ver_ihl；        //版本号(4位)+头度(4位)

Unsigned char tos；           //服务类型

Unsigned short tlen；         //总长度

Unsigned short identification； //标识

Unsigned short flags_fo；     //标志+片偏移

Unsigned char ttl；          //生存时间

Unsigned char proto；        //协议

Unsigned short crc；         //校验和 

DWORD saddr；            //源地址

DWORD daddr；            //目的地址

Unsigned int    op_pad      //选项+填充

}；

附录2: Ip结点类，存放IP包的源IP地址和其发送数据包个数

class IPNode

   {

         private:

                 long m_lIPAddress;

                 long m_lCount;

         public:

                 IPNode *pNext;

          //构造函数

         IPNode(long sourceIP)

         { 

                 m_lIPAddress=sourceIP;

                 m_lCount=1;

         }

          //数据包个数加1

         void addCount()

         {

                 m_lCount++;

         }

         //返回数据包个数

         long getCount()

         {

                 return m_lCount;

         }

        //返回IP地址

         long getIPAddress()

         {

                 return m_lIPAddress; 

         }

   };

       //结点链表

     class NodeList

     {

                IPNode *pHead;

                IPNode *pTail;

          public:

                NodeList()

                {

                     pHead=pTail=NULL;

                }

               ~NodeList()

               { 

                     if(pHead!=NULL)

                     {

                          IPNode *pTemp=pHead;

pHead=pHead->pNext;

                          delete pTemp;

                     }

               }

          //IP结点加入链表

               void addNode(long sourceIP)

               {

                     if(pHead==NULL)

                     {

                          pTail=new IPNode(sourceIP);

                          pHead=pTail;

pTail->pNext=NULL;

                     }

                    else

                    {

for(IPNode *pTemp=pHead;pTemp;pTemp=pTemp->pNext)

                          {

if(pTemp->getIPAddress()==sourceIP)

                               {

pTemp->addCount();

                                     break;

                               }

                          }

          //如果链表中没有此IP，则加入链表

                    if(pTemp=NULL)

                    {

pTail->pNext=new IPNode(sourceIP);

pTail=pTail->pNext;

pTail->pNext=NULL;

                    }

                    }

               }

     };

附录3:部分主程序

void main()

{

//取得网络适配器列表,WinPcap提供了pcap_findalldevs_ex() 函数来实现该功能: 

//它返回一个pcap_if结构的链表，每个这样的结构都包含了一个适配器的详细信息。

    pcap_if_t *alldevs;

    pcap_if_t *d;

    int i=0;

    char errbuf[PCAP_ERRBUF_SIZE];

    pcap_t *fp = NULL;

    struct bpf_program fcode;

    bpf_u_int32 netmask;

    int pcap_compile(pcap_t *p, struct bpf_program *fp,char *str,int optimize, bpf_u_int32 netmask);

    int pcap_setfilter(pcap_t *p, struct bpf_program *fp);

    // 获取本地机器设备列表

    if (pcap_findalldevs_ex(PCAP_SRC_IF_STRING, NULL /* auth is not needed */, &alldevs, errbuf) == -1)

    {

cout<     cout<<'\\n';

     cout<        exit(1);

}

// 打印列表    

for(d=alldevs; d!=NULL; d=d->next)

    {

cout<<++i<<":"<name;

if (d->description)

cout<<""<description;

        else

cout<<"No description available!"<<'\\n';

    }

    if(i ==0)

    {

cout<<"No interfaces found! Make sure WinPcap is installed."<<'\\n';

        return;

    } 

    pcap_freealldevs(alldevs);    //不再需要设备列表了，释放它

    //以混杂模式打开网卡

   if((fp=pcap_open_live(d->name,1000,1,1000,errbuf))==NULL)

    {

cout<<"Unable to open the adapter."<           pcap_freealldevs(alldevs) ;

           return;

    }

if(d->name!=NULL)

     netmask=((struct sockaddr_in *)(d->name->netmask))->sin_addr.S_un.S_addr;

    else

        netmask=0xffffff;

     //编译过滤器并设置过滤器

    if(pcap_compile(fp,&fcode,"tcp",1,netmask)<0)

    {

cout<<"Unable to compile the packet filter.check the syntax."<<'\\n';

           pcap_freealldevs(alldevs);

           return;

    } 

       //设置过滤器

    if(pcap_setfilter(fp,&fcode)<0)

     {

cout<<"Error setting the filter."<<'\\n';

           pcap_freealldevs(alldevs);

           return;

    }

     //在给定的时间内循环捕获IP数据包,并将该IP包的源地址加入链表

    while((res=pcap_next_ex(fp,&header,&pkt_data))>0)

    {

           time(&end);

if(end-beg>=min*60)            //获得系统时间

           break;                       //计算统计时间

           if(res==0)

           continue;                    //超时

           ip_header *ih;

           ih=(ip_header *)(pkt_data+14);     //14为Ethernet头的长度

           link.addnode(ih->saddr);          //将源IP 地址加入链表

    }

}