网关条件下数据流统计工具的分析与实现

摘要

随着互联网和计算机技术的发展，网络正在进入社会生活的各个方面。网络通信流量越来越大。与此同时，病毒传播、恶意攻击也对网络安全运行构成了重大的威胁。鉴于这两方面的原因，为了保障网络安全、高效的运行，网络性能测量变得越来越重要。网络流量监测是网络性能测量的重要基础之一，因此研究、开发监测网络流量的软件具有很大的理论和实际意义。 本研究在对Linux kernel2．4的Netfilter框架原理深入分析的基础上，分析、设计与实现了运行于内核的网关流量统计工具。在分析系统数据流图的基础之上，根据不同的功能边界划分，提出了三种可行方案。充分比较了各种方案的优缺点，并考虑系统应具有实时性、开销尽量小的特点之后，提出了框架设计，并依次对相应的模块进行了分析。统计工具设计时充分利用了模块化的思想。分为数据包检测、数据包捕获、系统主控三部分。在数据包检测中提出了特征与描述规则组等价，规则组与功能匹配函数对应的概念。并在此基础之上设计了一套独特的匹配函数实例的组织结构。基于此结构，既实现了数据包检测模块中的函数与数据包捕获模块中函数的动态连接，又为用户的二次开发提供了必要的接口和相应的注册手段。在数据包捕获模块，既考虑算法复杂性，又考虑了网关上的防火墙对统计工具可能产生的影响，并提出了相应的解决方案。为了解决在网关上处理所带来的性能瓶颈问题，系统采用了一系列技术来弥补这一缺陷，如核心代码在内核空间运行、多进程、多线程编程、高效的内核空间与用户空间数据交换等技术。

目录

文摘

英文文摘

声明

致谢

1 绪论

1.1 选题背景及研究的意义

1.2 国内外研究现状

1.2.1 理论规范

1.2.2 产品实现

1.3 论文研究内容

1.4 论文结构

1.5 本章小结

2 套接字缓存Socket Buffer与Netfilter框架

2.1 套接字缓存Socket Buffer

2.2 Netfilter框架

2.3 本章小结

3 统计工具的分析与总体设计

3.1 统计工具的需求分析

3.1.1 统计工具的功能性需求

3.1.2 统计工具的非功能性需求

3.2 统计工具实现方法分析

3.2.1 基于防火墙的方法

3.2.2 基于克隆的方法

3.2.3 基于Netfilter框架的方法

3.3 模块的功能与接口

3.4 统计工具的动态工作机制

3.5 本章小结

4 统计工具的检测机制

4.1 match模块产生的原因及功能

4.2 match模块中match函数的组织形式及与HOOK函数的连接

4.2.1 match函数的组织形式

4.2.2 HOOK函数与match函数连接

4.3 match模块中核心match函数实例

4.3.1 IP数据报

4.3.2 match函数实例分析

4.4 内核编程的局限性

4.5 Match模块的初始化

4.5.1 数据类型定义

4.5.2 关键函数分析

4.5.3 Match模块初始化分析

4.6 用户的二次开发接口与实例

4.6.1 框架基础及match函数的注册

4.6.2 实例

4.7 本章小结

5 统计工具的捕获机制

5.1 Linux系统IP层的工作机制

5.2 HOOK函数方式

5.3 关于统计工具中HOOK模块的几个关键问题

5.3.1 计数问题

5.3.1 HOOK函数返回值问题

5.3.2 HOOK函数优先级问题

5.4 统计工具中HOOK函数的分析

5.5 本章小结

6 统计工具的主控机制

6.1 Linux软件开发工具

6.2 内核空间和用户空间的数据交换

6.3 网络字节数和主机字节顺序

6.4 主函数的流程

6.5 主控机制的停等工作方式

6.6 流量监测记录的输出

6.7 本章小结

7 总结与展望

参考文献

作者简历