如何在 Windows 中挂钩 TCP 堆栈来嗅探和修改数据包？

Question

我想为 Windows 编写一个数据包嗅探器和编辑器。 我希望能够查看进入和离开我的系统的所有数据包的内容，并可能对其进行修改。 任何语言都可以，但我希望它运行得足够快，以免给系统带来负担。

我读过一些有关 WinPcap 的内容，但文档声称您不能使用 WinPcap 创建防火墙，因为它不能丢弃数据包。 什么工具可以帮助我编写这个软件？

Answer 1

有一个问题你需要问，但你不知道你需要问； 你想知道套接字属于哪些应用程序吗？ 或者您是否乐意被限制为 IP：端口四元进行连接？

如果您想了解应用程序，则需要编写 TDI 筛选器驱动程序，但这使得处理接收几乎不可能，因为您无法阻止接收路径。

如果您对 IP:port 感到满意，请进入 NDIS 级别，我相信您可以阻止接收您想要的内容。

一句警告； 如果您之前没有内核经验，那么编写这些驱动程序中的任何一个（尽管 TDI 非常困难）将需要大约两年的时间。

Answer 2

这个：

TdiFw 是一个简单的基于 TDI 的开源个人防火墙，适用于 Windows NT4/2000/XP/2003

http://tdifw .sourceforge.net/

可能会帮助你

Answer 3

在那里，完成了:-) 早在 2000 年，我的第一个 Windows 程序就是一个 过滤器钩子驱动程序。

我所做的是实现过​​滤器挂钩驱动程序并编写一个用户空间应用程序，该应用程序准备了一个过滤器表，说明允许什么和不允许什么。 当您绕过最初的一组蓝屏时（请参阅下面的内核模式调试提示），过滤器模式驱动程序非常易于使用...它将每个数据包提供给您编写的函数，并根据返回代码将其丢弃或者让它过去。

不幸的是，该级别的数据包是相当原始的，片段不会重新组装，它看起来更像是事物的“网卡”端（但不再有以太网标头）。 因此，使用该解决方案解码数据包以进行过滤会非常困难。

还有防火墙挂钩驱动程序，如这篇codeproject 文章中所述。

如果您使用的是 Vista 或 Server 2008，您最好查看一下 WFP (Windows相反，这似乎是当今编写防火墙的强制 API。
除了几分钟前当我在谷歌上搜索过滤器挂钩驱动程序时谷歌将其打开之外，我不知道这一点。

更新：忘记了调试提示：

Sysinternals DbgView 显示内核模式 DbgPrint 输出，更重要的是 - 它还可以从上次蓝屏生成的转储文件中读取它们。 因此，在您的代码中添加 dbgprint，如果出现蓝屏，只需将转储加载到 dbgview 中，看看它死掉之前发生了什么......非常有用。 使用这个我可以在没有内核调试器的情况下进行管理。

Answer 4

我很确定您需要编写一个过滤器驱动程序。 http://en.wikipedia.org/wiki/Filter_driver 我不知道更多比起那个来说 ：）。 它肯定是一个 C/C++ Win32 应用程序，并且您可能正在做一些内核方面的工作。 首先下载 DDK 并找到一些示例过滤器驱动程序。

如果您只想监视进出 IIS 的内容，请考虑使用 ISAPI 过滤器。 仍然是 Win32 中的 C/C++，但比编写设备驱动程序相对容易。

Answer 5

用于执行此操作的 C# 代码位于此处

Answer 6

事实上，几年前我就这么做了。 目前我对细节还不清楚，但我必须使用 Windows DDK 开发一个过滤器/直通/中间驱动程序。 我从 pcausa 那里得到了很多有用的信息。 这是一个指向其产品的网址：http://www.pcausa.com/ pcasim/Default.htm

Answer 7

如果您这样做是出于实际原因，而不仅仅是为了好玩，那么您应该看看 Microsoft 网络监视器。 主页谈论的是 3.3 测试版，但您可以从下载页面下载 3.2 版。 还有一个用于 NM 的 SDK，以及为您自己的网络协议编写解析器的能力。