如何计算每个 TCP 连接（系统范围）发送和接收的字节数？

Question

例如TCPView 的最新版本具有这样的功能：显示每个 TCP 连接发送/接收的字节数（启动 TCPView 时开始计数）。是否有可能没有数据包嗅探？ Windows 是否为此提供任何 API？我还没有找到这样的性能计数器

如何枚举所有连接描述here

编辑：TDI 是否有助于接收每个套接字的传输统计信息？网络BIOS？有什么链接可以挖吗？

Answer 1

在http://connect.microsoft.com/WNDP/Downloads查看 WinSock LSP 示例项目

您将在 nonifslsp\sockinfo.cpp 中找到一个示例，该示例“说明了如何开发能够计算通过 TCP/IP 套接字传输的所有字节的分层服务提供程序。"

Answer 2

我最好的选择是挂钩“发送”API 调用并记录每次发送的金额。虽然这看起来真的不值得，但我很确定它会起作用。祝你好运！

Answer 3

netstat (netstatp) 的 sysinternals 版本执行此操作。 IIRC，它使用 SNMP 收集其信息。搜索网络并找到您喜欢的版本。文件名为 netstatp.c 和 netstatp.h
Sysinternals 不再发布我知道的 netstatp。

您也可以转到here 并获取 tcpview 和/或 tcpconv，其中之一以源代码形式提供。

Answer 4

我也想实现这个功能，所以我倒转tcpview 3.0.2。

我发现，tcpview 使用了一个 WMI 性能计数器 MSNT_TcpIpInformation。

但是xp和2003官方不支持MSNT_TcpIpInformation。

这里是描述，你可以参考。 http://www.scriptinternals.com/new/us/support/Internal/WMI_MSNT_TcpIpInformation.htm

顺便说一句，MSNT_TcpIpInformation 没有关于数据包的信息，所以 tcpview 只是每次都增加发送的数据包和 revd 数据包。 这是反汇编：

CPU Disasm
Address   Hex dump          Command                                           Comments
0040B41B  |.  83E8 02       SUB EAX,2                                         ; Switch (cases 2..3, 3 exits)
0040B41E  |.  74 29         JE SHORT 0040B449
0040B420  |.  83E8 01       SUB EAX,1
0040B423  |.  75 40         JNE SHORT 0040B465
0040B425  |.  8B57 1C       MOV EDX,DWORD PTR DS:[EDI+1C]                     ; Case 3 of switch Tcpview.40B41B
0040B428  |.  0196 90060000 ADD DWORD PTR DS:[ESI+690],EDX
0040B42E  |.  119E 94060000 ADC DWORD PTR DS:[ESI+694],EBX
0040B434  |.  8386 C0060000 ADD DWORD PTR DS:[ESI+6C0],1
0040B43B  |.  119E C4060000 ADC DWORD PTR DS:[ESI+6C4],EBX
0040B441  |.  5E            POP ESI
0040B442  |.  5F            POP EDI
0040B443  |.  5D            POP EBP
0040B444  |.  5B            POP EBX
0040B445  |.  83C4 3C       ADD ESP,3C
0040B448  |.  C3            RETN
0040B449  |>  8B47 1C       MOV EAX,DWORD PTR DS:[EDI+1C]                     ; Case 2 of switch Tcpview.40B41B
0040B44C  |.  0186 78060000 ADD DWORD PTR DS:[ESI+678],EAX
0040B452  |.  119E 7C060000 ADC DWORD PTR DS:[ESI+67C],EBX
0040B458  |.  8386 A8060000 ADD DWORD PTR DS:[ESI+6A8],1
0040B45F  |.  119E AC060000 ADC DWORD PTR DS:[ESI+6AC],EBX
0040B465  |>  5E            POP ESI                                           ; Default case of switch Tcpview.40B41B
0040B466  |.  5F            POP EDI

Answer 5

查看BitMeterOS 的源代码，它适用于 xp+。你们很多人也想看看TCPDump/Libpcap。这两个都监控网络网络流量，但 libpcap 可能会是你所追求的

还有Winpcap，一个更面向windows的“版本”，一个关于网络流量统计的简单教程可以找到here，你也会对this感兴趣，用于基于连接的过滤和@987654326 @ 表示原始数据包的大小。

Answer 6

所有，我已经基本上完全反转了 tcpview 3.0.2 并根据我所学到的实现了与它相同的功能。

tcpview 使用ETW 监控网络活动。

关键 API 是 StartTrace、OpenTrace、ProcessTrace。

使用 KERNEL_LOGGER_NAME 并启用 EVENT_TRACE_FLAG_NETWORK_TCPIP 标志。

然后就可以从EventCallback检索网络活动数据，然后解析为TcpIp_TypeGroup1等结构。根据该文件，这些结构仅受 vista 支持。但是，您可以在 xp（反向猜测）和 2003（我的环境是 2003，xp 上没有测试）中调用和使用它。当然，您必须自己定义所有这些结构。

从 vista 中，win 提供了一些用于检索每个连接统计信息的 API。如GetPerTcpConnectionEStats、GetPerUdpConnectionEStats，您可以从MSDN 获得更多详细信息。

另外，从 vista 中，您可以使用 RAW Socket 来完成相同的工作（我认为更准确）。在 vista 之前，RAW Socket 无法检索 SEND 数据包，很可惜。