4．网络信息监测的实现 网络信息监测程序分为信息截获与信息分析两大部分，其中信息截获程序流程如图3所示，采用多进程与多线程技术，完成数据的实时截获。 其中网络适配器列表通过读取系统注册表生成；网络适配器详细信息包括适配器型号、网络适配器物理地址、传输最大帧、传输速率以及机内标识符，通过函数W32N_MakeNdisRequest()获得。 协议过滤部分是包括PCAUSA端口的PCANDIS5协议驱动，BPF过滤器是由UNIX环境到Windows的模拟机制，为Win32应用程序提供了一种普通而又便利的机制，可过滤指定协议，由协议驱动执行，拒绝不想要的数据帧。支持协议包括：传输控制协议TCP、互连网协议IP、地址解析协议ARP、反向地址解析协议RARP、互连网控制报文协议ICMP、互连网组管理协议IGMP、Novell SPX/IPX协议IPX、用户数据报协议UDP、NetBEUI协议、AppleTalk协议。 信息分析部分利用已获知的媒体访问控制协议，提取出数据帧中的有效域值，如源主机物理地址、目的主机物理地址、帧长度等。并同时为每一被截获的数据包打上时标，注上序列号，为下一步数据重组提供可靠依据。

　　接收数据帧显示与信息统计结果范例如下：

　　包序列号：0000000032 时间：0005860470 msec 长度：54/54 Ethernet 目的：00.40.05.39.A2.B0 源：00.00.B4.86.74.FA 类型：0x0800 000000: 00 40 05 39 A2 B0 00 00 : B4 86 74 FA 08 00 45 00 .@.9......t...E. 000010: 00 28 26 03 40 00 20 06 : A3 25 64 64 64 7A 64 64 .(&.@. ..%dddzdd 000020: 64 65 04 06 00 8B 00 40 : BF 14 00 6C 24 B9 50 10 de.....@...l$.P. 000030: 22 38 12 EA 00 00 : 8.............. 　

　　包序列号：0000000033 时间：0005860764 msec 长度：109/109 Ethernet 目的：00.40.05.39.A2.B0 源：00.00.B4.86.74.FA 类型：0x0800 000000: 00 40 05 39 A2 B0 00 00 : B4 86 74 FA 08 00 45 00 .@.9......t...E. 000010: 00 5F 27 03 40 00 20 06 : A1 EE 64 64 64 7A 64 64 ._.@. ...dddzdd 000020: 64 65 04 06 00 8B 00 40 : BF 14 00 6C 24 B9 50 18 de.....@...l$.P. 000030: 22 38 DE C6 00 00 00 00 : 00 33 FF 53 4D 42 1A 00 8.......3.SMB.. 000040: 00 00 00 00 00 80 00 00 : 00 00 00 00 00 00 00 00 ................ 000050: 00 00 03 08 25 2D 03 08 : 01 4C 08 01 08 00 80 10 ....%-...L...... 000060: 00 00 10 00 00 00 00 00 : 00 00 00 00 00 ................ 　

　　包序列号：0000000034 时间：0005860766

上一页  [1] [2] [3] 下一页