基于WinPcap的民航通信网络数据监测与应用分析摘要：本文利用数据捕获开源库WinPcap，致力于从网络底层提供一种民航通信网络的数据帧嗅探、网络监视和应用分析的解决方案。方案架构是具有高并发的生产者消费者模式，多线程的完成四个功能架构模块的处理，同时从五个方面来完成数据应用分析，实时掌握网络利用情况，提供高效的数据查询、信息统计和网络监测服务，并对数据库提出几点优化改进意见。最后根据统计信息可以进一步优化网络结构，提供更加安全、可靠和高效的通信服务。关键词：民航通信;帧嗅探;网络监测：TP393.09：ADOI：10.3969/j.issn.1003-6970.2020.09.049本文著录格式：刘飞.基于WinPcap的民航通信网络数据监测与应用分析[J].软件，2020，41（09）：189191【Abstract】：ThispaperusesWinPcap，anopensourcedataacquisitionlibrary，toprovideasolutionfordataframesniffing，networkmonitoringandapplicationanalysisofcivilaviationcommunicationnetworkfromthebottomofthenetwork.Theschemearchitectureisaproducer-consumermodewithhighconcurrency.Itcompletestheprocessingoffourfunctionalarchitecturemodulesbymultithreading.Atthesametime，itcompletesdataapplicationanalysisfromfiveaspects，graspsthenetworkutilizationinrealtime，providesefficientdataquery，informationstatisticsandnetworkmonitoringservices，andputsforwardsomesuggestionsfordatabaseoptimizationandimprovement.Finally，accordingtothestatisticalinformation，thenetworkstructurecanbefurtheroptimizedtoprovidemoresecure，reliableandefficientcommunicationservices.【Keywords】：Civilaviationcommunication;Framesniffing;Networkmonitoring0引言隨着民航的快速发展，民航通信网络规模越来越大，网络结构也越来越复杂。民航通信网络大体分为局域通信网络和异地传输网络。传输网络按照中国民航航空系统组块升级（ASBU）发展与实施策略，未来将采用IP作为地面网络的核心技术[1]。因此有必要从网络底层提供一种民航通信局域网络和传输终端网络的数据帧嗅探、网络监视和应用分析的解决方案。WinPcap提供抓包和网络分析的功能，可通过网络适配器监听共享通信网络上的数据帧，完成网络监视、故障诊断、统计分析等功能。1网络数据封装TCP/IP模型参考了OSI理论体系结构，具有分层结构，分别为应用层、传输层、网络层和网络接口层，见图1。最上层的应用层通过各种协议向应用进程提供各种业务应用，数据在从上层向下层传送的过程中完成数据封装，并以比特流的形式传给底层通信设备。网络接口层使用两种标准帧格式，Ethernet_II和IEEE802.3。不同的Length/Type字段值用来区别这两种帧的类型，当字段值小于等于1500（0x05DC）时，帧使用的是IEEE802.3格式;当字段值大于等于1536（0x0600）时，帧使用的是EthernetII格式，网络中大部分使用EthernetII格式[2]。本文例举EthernetII格式，D.MAC代表目的物理地址，S.MAC代表源物理地址，TYPE标识协议类型，DATA为网络层的数据包，FCS是校验字段。数据封装过程中，协议数据单元在传输层添加协议报头生成数据段，网络层添加IP报头生成数据包，网络接口层添加帧头（D.MAC、S.MAC、TYPE）和帧尾（FCS）生成数据帧。解封装是封装的逆过程，从接口层到应用层逐渐拆解协议包，处理包头中的信息，取出数据信息。本文根据解封装过程，按照顺序提取出帧中的type、timestamp、protocol、sourceIP、destinationIP、protocoldata等信息，为数据分析和统计做准备。2WinPcap技术WinPcap（windowspacketcapture）是为应用程序捕获网络底层数据的开源库，可以嗅探到网络接口层的以太网帧，适用于数据监控、协议分析、网络安全等方面。WinPcap分为三个部分：核心的NPF（netgrouppacketfilter），运行在操作系统内核中的驱动程序，直接与网络驱动程序交互，获取网络上的原始数据[3];底层动态链接库packet.dll，提供访问驱动的函数;高级系统无关库wpcap.dll，更强大的与libpcap一致的高层抓包函数库。数据捕获是将网络适配器设置为混杂监听模式（promis...