这一节将展示WinPcap的另一高级功能：收集网络流量的统计信息。WinPcap的统计引擎在内核层次上对到来的数据进行分类。如果你想了解更多的细节请查看NPF驱动指南。
这一节将展示WinPcap的另一高级功能：收集网络流量的统计信息。WinPcap的统计引擎在内核层次上对到来的数据进行分类。如果你想了解更多的细节请查看NPF驱动指南。
为了利用这个功能来监视网络，我门的程序必须打开一个网卡并用pcap_setmode()将其设置为统计模式。注意pcap_setmode()要用 MODE_STAT来将网卡设置为统计模式。
在统计模式下编写一个程序来监视TCP流量只是几行代码的事情，下面的例子说明了如何来实现该功能的。


/*
* Copyright (c) 1999 - 2002
* Politecnico di Torino. All rights reserved.
*
* Redistribution and use in source and binary forms, with or without
* modification, are permitted provided that: (1) source code distributions
* retain the above copyright notice and this paragraph in its entirety, (2)
* distributions including binary code include the above copyright notice and
* this paragraph in its entirety in the documentation or other materials
* provided with the distribution, and (3) all advertising materials mentioning
* features or use of this software display the following acknowledgement:
* ``This product includes software developed by the Politecnico
* di Torino, and its contributors.’’ Neither the name of
* the University nor the names of its contributors may be used to endorse
* or promote products derived from this software without specific prior
* written permission.
* THIS SOFTWARE IS PROVIDED ``AS IS’’ AND WITHOUT ANY EXPRESS OR IMPLIED
* WARRANTIES, INCLUDING, WITHOUT LIMITATION, THE IMPLIED WARRANTIES OF
* MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE.
*/

#include 
#include 

#include 

void usage();

void dispatcher_handler(u_char *, 
  const struct pcap_pkthdr *, const u_char *);


void main(int argc, char **argv) {
  pcap_t *fp;
  char error[PCAP_ERRBUF_SIZE];
  struct timeval st_ts;
  u_int netmask;
  struct bpf_program fcode;

  /* Check the validity of the command line */
  if (argc != 2)
  {
    usage();
    return;
  }
    
  /* Open the output adapter */
  if((fp = pcap_open_live(argv[1], 100, 1, 1000, error) ) == NULL)
  {
    fprintf(stderr,"\nError opening adapter: %s\n", error);
    return;
  }

  /* Don’t care about netmask, it won’t be used for this filter */
  netmask=0xffffff; 

  //compile the filter
  if(pcap_compile(fp, &fcode, "tcp", 1, netmask) <0 ){
    fprintf(stderr,"\nUnable to compile the packet filter. Check the syntax.\n");
    /* Free the device list */
    return;
  }
  
  //set the filter
  if(pcap_setfilter(fp, &fcode)<0){
    fprintf(stderr,"\nError setting the filter.\n");
    /* Free the device list */
    return;
  }

  /* 将网卡设置为统计模式 */
  pcap_setmode(fp, MODE_STAT);

  printf("TCP traffic summary:\n");

  /* Start the main loop */
  pcap_loop(fp, 0, dispatcher_handler, (PUCHAR)&st_ts);

  return;
}

void dispatcher_handler(u_char *state, const struct pcap_pkthdr *header, const u_char *pkt_data)
{
  struct timeval *old_ts = (struct timeval *)state;
  u_int delay;
  LARGE_INTEGER Bps,Pps;
  struct tm *ltime;
  char timestr[16];

  /* 从最近一次的采样以微秒计算延迟时间 */
  /* This value is obtained from the timestamp that the associated with the sample. */
  delay=(header->ts.tv_sec - old_ts->tv_sec) * 1000000 - old_ts->tv_usec + header->ts.tv_usec;
  /* 获得每秒的比特数 */
  Bps.QuadPart=(((*(LONGLONG*)(pkt_data + 8)) * 8 * 1000000) / (delay));
  /*                             ^     ^
                                |     |
                                |     |  [Page]
                                |     |
                converts bytes in bits --     |
                                      |
            delay is expressed in microseconds --
  */

  /* 获得每秒的数据包数 */
  Pps.QuadPart=(((*(LONGLONG*)(pkt_data)) * 1000000) / (delay));

  /* 将时间戳转变为可读的标准格式 */
  ltime=localtime(&header->ts.tv_sec);
  strftime( timestr, sizeof timestr, "%H:%M:%S", ltime);

  /* Print timestamp*/
  printf("%s ", timestr);

  /* Print the samples */
  printf("BPS=%I64u ", Bps.QuadPart);
  printf("PPS=%I64u\n", Pps.QuadPart);

  //store current timestamp
  old_ts->tv_sec=header->ts.tv_sec;
  old_ts->tv_usec=header->ts.tv_usec;
}


void usage()
{
  
  printf("\nShows the TCP traffic load, in bits per second and packets per second.\nCopyright (C) 2002 Loris Degioanni.\n");
  printf("\nUsage:\n");
  printf("\t tcptop adapter\n");
  printf("\t You can use \"WinDump -D\" if you don’t know the name of your adapters.\n");

  exit(0);
}

在设置为统计模式前可以设置一个过滤器来指定要捕获的协议包。如果没有设置过滤器那么整个网络数据都将被监视。一旦设置了 过滤器就可以调用pcap_setmode()来设置为统计模式，之后网卡开始工作在统计模式下。
需要指出的是pcap_open_live()的第四个参数(to_ms)定义了采样的间隔，回调函数pcap_loop()每隔一定间隔就获取一次采样统计，这个采样被装入pcap_loop()的第二和第三个参数，过程如下图所示：
______________
|struct timeval ts |                       
|_____________|
|bpf_u_int32     |
|caplen=16       |     struct pcap_pkthdr*
|_____________|       (参数2)
| bpf_u_int32     |
| len=16         |
|_____________|

__________________________
|large_integer Accepted packet |
|_________________________|       uchar *
| large_integer Accepted bits   |       (参数3)
|_________________________| 



用两个64位的计数器分别记录最近一次间隔数据包数量和比特数量。
本例子中，网卡打开时设置超时为1000毫秒，也就是说dispatcher_handler()每隔1秒就被调用一次。过滤器也

设置为只监视TCP包，然后pcap_setmode() and pcap_loop()被调用，注意一个指向timeval的指针 作为参数传

送到pcap_loop()。这个timeval结构将用来存储个时间戳以计算两次采样的时间间隔。
dispatcher_handler()用该间隔来获取每秒的比特数和数据包数，并把着两个数显示在显示器上。
最后指出的是目前这个例子是比任何一个利用传统方法在用户层统计的包捕获程序都高效。因为统计模式需要

最小数量的数据拷贝和上下环境交换，同时还有最小的内存需求，所以CPU是最优的。