如何计算每个 TCP 连接（系统范围）发送和接收的字节数？

Question

例如，最新版本的 TCPView 具有这样的功能：显示每个 TCP 连接发送/接收的字节（启动 TCPView 时开始计数）。是否可以不进行数据包嗅探？ windows为此提供了任何API吗？我还没有找到这样的性能计数器

此处描述了如何枚举所有连接

编辑：TDI 是否有助于接收每个套接字的传输统计信息？网络BIOS？任何链接在哪里挖掘？

Answer 1

所有，我基本上完全逆向了 tcpview 3.0.2 并根据我所学到的实现了与其相同的功能。

tcpview 使用 ETW 监视网络活动。

关键 API 是 StartTrace、OpenTrace、ProcessTrace。

使用 KERNEL_LOGGER_NAME 并启用 EVENT_TRACE_FLAG_NETWORK_TCPIP 标志。

然后，您可以从 EventCallback 检索网络活动数据，然后将其解析为 TcpIp_TypeGroup1 和其他结构。根据文档，这些结构仅支持vista。不过你可以在xp（逆向猜测）和2003（我的环境是2003，xp上没有测试）中调用并使用它。当然，所有这些结构都必须由您自己定义。

从vista开始，win提供了一些API来检索每个连接的统计信息。如GetPerTcpConnectionEStats、GetPerUdpConnectionEStats，您可以从MSDN获取更多详细信息。

另外，从 vista 中，您可以使用 RAW Socket 来完成相同的工作（我认为更精确）。在vista之前，RAW Socket无法检索SEND数据包，很遗憾。

Answer 2

我也想实现这个功能，所以我逆向tcpview 3.0.2。

我发现，tcpview使用了一个WMI性能计数器MSNT_TcpIpInformation。

但MSNT_TcpIpInformation在xp和2003中正式不支持。

这里有说明，你可以参考一下。
http://www.scriptinternals.com/new/us/support/Internal /WMI_MSNT_TcpIpInformation.htm

顺便说一句，MSNT_TcpIpInformation 没有有关数据包的信息，因此 tcpview 每次都会递增已发送和已转发的数据包。
这是反汇编：

CPU Disasm
Address   Hex dump          Command                                           Comments
0040B41B  |.  83E8 02       SUB EAX,2                                         ; Switch (cases 2..3, 3 exits)
0040B41E  |.  74 29         JE SHORT 0040B449
0040B420  |.  83E8 01       SUB EAX,1
0040B423  |.  75 40         JNE SHORT 0040B465
0040B425  |.  8B57 1C       MOV EDX,DWORD PTR DS:[EDI+1C]                     ; Case 3 of switch Tcpview.40B41B
0040B428  |.  0196 90060000 ADD DWORD PTR DS:[ESI+690],EDX
0040B42E  |.  119E 94060000 ADC DWORD PTR DS:[ESI+694],EBX
0040B434  |.  8386 C0060000 ADD DWORD PTR DS:[ESI+6C0],1
0040B43B  |.  119E C4060000 ADC DWORD PTR DS:[ESI+6C4],EBX
0040B441  |.  5E            POP ESI
0040B442  |.  5F            POP EDI
0040B443  |.  5D            POP EBP
0040B444  |.  5B            POP EBX
0040B445  |.  83C4 3C       ADD ESP,3C
0040B448  |.  C3            RETN
0040B449  |>  8B47 1C       MOV EAX,DWORD PTR DS:[EDI+1C]                     ; Case 2 of switch Tcpview.40B41B
0040B44C  |.  0186 78060000 ADD DWORD PTR DS:[ESI+678],EAX
0040B452  |.  119E 7C060000 ADC DWORD PTR DS:[ESI+67C],EBX
0040B458  |.  8386 A8060000 ADD DWORD PTR DS:[ESI+6A8],1
0040B45F  |.  119E AC060000 ADC DWORD PTR DS:[ESI+6AC],EBX
0040B465  |>  5E            POP ESI                                           ; Default case of switch Tcpview.40B41B
0040B466  |.  5F            POP EDI

Answer 3

检查 WinSock LSP 示例项目，网址为 http://connect.microsoft.com/WNDP/Downloads

将在 nonifslsp\sockinfo.cpp 中找到一个示例，其中“说明如何开发能够对通过 TCP/IP 套接字传输的所有字节进行计数的分层服务提供程序。”

Answer 4

netstat (netstatp) 的 sysinternals 版本可以执行此操作。 IIRC，它使用 SNMP 来收集信息。搜索网络并找到您喜欢的版本。文件名为 netstatp.c 和 netstatp.h
据我所知，Sysinternals 不再发布 netstatp。

您还可以访问此处并获取 tcpview 和/或 tcpconv 其中之一可用以源形式。

Answer 5

查看 BitMeterOS 的源代码，它可以在 xp+ 上运行。你们还想看看 TCPDump/Libpcap 。这两个都监视网络网络流量，libpcap 可能会是你想要的，尽管

还有 Winpcap，一个更多的窗口面向“版本”，可以在此处找到有关网络流量统计的简单教程，您还会对此感兴趣，用于基于连接进行过滤this 表示原始数据包的大小。

Answer 6

我最好的选择是挂钩“发送”API 调用并记录每次发送的金额。虽然这看起来确实不值得，但我很确定它会起作用。祝你好运！