下网络数据报及监听和拦截技术
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
Windows下网络数据报的监听和拦截技术1
Windows下网络数据报的监听和拦截技术是一个比较古老的话题,应用也很广泛,例如
防火墙等等。这篇小文只是对该技术的一个总结,没有新技术,高手免看:)
要监听和拦截Windows下的数据报,基本可以在两个层次进行,一个是用户态(user-mo
de),一个是核心态(kernel-mode)。
在用户态下,从高到低大概有四种方法。
1、原是套结字(Raw Socket)。Winsock2以后提供了原始套结字功能,可以在用户态用
Winsock函数接收所有流经Winsock的IP包。这种方法在MSDN里面有叙述,是MS官方支持
的方法,在网上也有很多资料。但是这种方法只能监听但是不能拦截数据报,所以可以
作为网络监视器的选择技术,但是不能实现防火墙等更高要求的功能。另外最致命的缺
点就是只能在Winsock层次上进行,而对于网络协议栈中底层协议的数据包例如TDI无法
进行处理。对于一些木马和病毒来说很容易避开这个层次的监听。
2、替换系统自带的WINSOCK动态连接库。这种方法可以在很多文章里面找到详细的实现
细节。通过替换系统Winsock库的部分导出函数,实现数据报的监听和拦截。缺点同1。
3、Winsock服务提供者(SPI)。SPI是Winsock的另一面,是Winsock2的一个新特性。
起初的Winsock是围绕着TCP/IP协议运行的,但是在Winsock 2中却增加了对更多传输协
议的支持。Winsock2不仅提供了一个供应用程序访问网络服务的Windows socket 应用程
序编程接口(API),还包含了由传输服务提供者和名字解析服务提供者实现的Winsock
服务提供者接口(SPI)和ws2_32.dll。 Winsock 2的传输服务提供者是以动态链接库的
形式(DLL)存在的。以下是winsock 2在传输服务提供者上的WOSA(Windows 开放服务结
构):
----------------------------
|Windows socket 2 应用程序|
----------------------------Windows socket 2 API
| WS2_32.DLL |
----------------------------Windows socket 2 传输SPI
| 传输服务提供者(DLL) |
----------------------------
Windows socket SPI提供三种协议:分层协议,基础协议和协议链。分层协议是在基础
协议的上层,依靠底层基础协议实现更高级的通信服务。基础协议是能够独立,安全地
和远程端点实现数据通信的协议,它是相对与分层协议而言的。协议链是将一系列的基
础协议和分层协议按特点的顺序连接在一起的链状结构,可以通过Platform SDK 附带的
工具Sporder.exe察看系统已经安装的SPI,请参见下图:
API------------------------
| WS2_32.DLL |
SPI------------------------
| 分层协议 |
SPI-------------
| 分层协议 |
SPI------------------------
| 基础协议 |
------------------------
每个应用程序通过Ws2_32.dll和相应的服务提供者进行严格的数据交换。
Ws2_32.dl
l根
据应用程序在创建套接字时所提供的参数来选择特定的服务提供者,然后把应用程序的
实现过程转发由所选创建套接字的服务提供者来管理。也就是说,Ws2_32.dll 只是一个
中间过程,而应用程序只是一个接口,数据通信的实现却是由服务提供者来完成的。所
以我们通过适当的增加自己的分层协议服务提供者,使其位于SPI的顶端,那么就能将W
s2_32.dll传给服务提供者的数据报拦截下来。由于是MS的官方方法,具体的使用方法在
其Platform SDK里面有详细的例子(LSP),在MSDN里面也有详细的解释。这种方法的优点
是能够获得调用Winsock的进程的详细信息,并能实现Qos和数据加密。所以SPI是用户态
数据拦截的较好地点。缺点同1。
4、Windows2000包过滤接口。由于过滤规则限制太多不灵活而应用不多。
5、网络监视器SDK。MS官方的实时监视分析网络数据的方法。但是由于封装的太复?
樱?
使用起来不灵活。
在核心态下,数据报的监视和拦截方法比较复杂,由于大多个人防火墙都是在核心?
?
实现的,所以在这里比较详细的叙述一下。具体的请参见nt/2kDDK文档。大概有下面几
个方法。
1、 TDI过滤驱动程序(TDI Filter Driver)。
2、 NDIS中间层驱动程序(NDIS Intermediate Driver)。编写IM DRIVER 在NDIS中间层
对MINIPORT(网卡驱动程序)和协议驱动程序之间的数据包进行拦截。这是微软提供的
一种技术。在DDK中MS提供了Passthru例子,很多中间层过滤驱动都可以由之改编。但编
写该过滤程序拦截程序非常的复杂,安装也很麻烦。
3、 Win2k Filter-Hook Driver。
4、 NDIS Hook Driver。这种方法又有两种实现方式。