一、局域网网络监控软件的抓包技术研究

为了更换掌握用户的上网行为管理，局域网监控软件提供对网络数据包进行抓包分析技术。

1. Unix平台中的网络数据包采集

Unix系统提供了标准的AP1支持 ：Packetsocket和BPF(BSDPacketFilter，简称 BPF)。

(1)BSD (BerkeleySoftwareDistribution)抓包法

BSD包过滤器位于BSDUnix的内核中，它独立于TCP／IP协议栈 ，为应用程序访问数据链路层提供了一个原始接口，被广泛地运用在网络监控及其它局域网监控软件中。

BPF使用了3种技术以降低系统开销：

① BPF的过滤器存在于内核中，以减小开销

② 由于从内核复制所有数据包到达应用层的开销太大，可以考虑只复制部分数据 (capturelen~h)，一般的应用程序主要使用的是数据包头，如Tcpdump就定义了只获取前 68个字节。

③ BPF在内核中设置了缓存，当a缓存满或b缓存readtimeout过期 ，则发送数据到应用程序。这样做是为了减少从核心态到用户态的系统开销。在实际的操作中，使用double buffering技术，一个用于发送数据到应用程序；另一个用于缓存BPF获得的数据。

(2)Libpcap抓包工具库

Libpcap库是基于 BPF系统 的。BPF是BSD系统在的TCPBP软件在实现的时候所提供的一个接 口，通过这个接口，外部程序可以得到到达本机的数据链路层网络数据，同时也可以设置过滤器，嵌入到网络软件中，获得过滤后的数据包。

Libpcap是一个与实现无关的访问操作系统所提供的分组捕获机制的分组捕获函数库；

Libpcap提供了系统独立的用户级别 网络数据包捕获接口，其充分考虑到应用程序的可移植性；

Libpcap可以在绝大多数类Unix平台下工作；

Unix系统中，可通过 Libpcap库调用用户状态上的缓冲区，直接与内核交互，实现网络数据包的截取。

2. Windows平台上通过驱动程序来获取数据包

Windows2000下的网络驱动程序实现网络体系结构中由下而上的4个协议层：

windows系统的网络体系结构

OSI定义的这层又被IEEE分为两层：LLC和MAC。LLC层提供将数据帧从一个节点无错误传输到另一个节点。LLC层建立并终止逻辑链路，控制帧传输，帧排序，确认帧和再次传输非确认帧。LLC层利用帧确认和再次传输来通过链向上一层提供最终的无错误的传输。MAC层管理存取网络媒介 ，检查帧错误，并管理接收帧地址确认。在Windows2000网络体系结构中，LLC子层是由传输驱动程序实现的，而MAC子层是由网络接口卡 (NIC)来实现。

二、H3C路由器上实现对P2P流量的限制

当前，基于P2P 模式的业务和应用给互联网的发展带来了巨大影响，一方面其推动了互联网宽带业务的快速发展；另一方面， 由于运营商现有网络尚不具备对互联网上层应用和内容的识别和管理能力，导致各种P2P流量大量占用网络带宽资源，网络升级扩容的速度跟不上P2P流量增长的速度，大客户的网络质量难以得到切实的保障，网络增量不增收。为此，积极的疏导、适度的局域网上网控制和管理网络上P2P的流量及有效的利用P2P技术发展新的增值业务，成为运营商所面临迫切需要解决的问题。

H3C路由器上实现对P2P流量的限制

为实现对P2P流量的识别和控制，减少P2P对现有网络及业务的冲击，需要使用专用软件或网络设备。下面介绍的方法可以直接在路由器上实现，对于资金预算比较紧张的企业，可以起到临时应急的作用。本实现方法在H3C MSR5040路由器上测试通过。

#定义访问列表

acl number 3001

rule 0 deny icmp

rule 4 deny tcp destination-port eq 8080

rule 5 deny tcp destination-port eq www

rule 6 deny tcp destination-port eq 443

rule 7 deny tcp destination-port eq smtp

rule 8 deny tcp destination-port eq pop3

rule 10 deny tcp destination-port eq domain

rule 15 deny udp destination-port eq dns

rule 20 permit ip

#对数据进行分类

traffic classifier rate-limit-out operator and

if-match acl 3001

#定义流行为

traffic behavior rate-behaivor-out

car cir 3000 cbs 187500 ebs 0 green pass red discard

#

qos policy rate-policy-out

classifier rate-limit-out behavior rate-behaivor-out

#

interface GigabitEthernet0/0

qos apply policy rate-policy-out outbound
随着P2P技术的不断发展，P2P技术在多个方面如网络体系结构、P2P搜索模式以及P2P传输协议都有了较深入的研究，而且，P2P以其成熟的技术，应用的场景越来越多。因此，P2P的流量无疑也会不断增加，能够正确、快速地识别P2P流量对网络管理来说是非常重要的。

对有专业技术人才的大型企业或者本身就是技术公司来说，设置路由器来实现局域网流量的限制是可行的，但是对于大多数企业来说，这样做显然太麻烦，也不容易实现。这时选择AnyView（网络警）网络监控软件局域网监控软件就很有必要了，他不仅有流量限制功能，很多超越传统路由器的功能也非常实用，比如屏幕监控、聊天监控等。而且还有U盘管理，桌面管理等功能。