Windows网络数据包修改

Question

我正在编写一个小程序，它将拦截网络数据包（在本地计算机上）并在它们进入网络之前对其进行修改。我还需要能够修改标题，而不仅仅是数据。

我已经研究了几种可能性，但不确定最好选择哪一种。那里有开源数据包过滤器，但过滤似乎只能允许或拒绝数据包，除此之外别无其他。

另一个解决方案是编写一个 NDIS 中间驱动程序，但编写驱动程序超出了我的能力范围。即使是 WinDDK 中简单的传递示例也有数千行。我也不希望不断地重新安装驱动程序并重新启动来测试我的代码。

理想情况下，我希望该程序是独立的，而不依赖于第三方驱动程序/软件/其他内容的安装。

因此，如果你们能给我指出正确的方向，向我提供一些有用的链接，无论如何，我将不胜感激。

Answer 1

取决于您要过滤/修改哪种数据包。

如果您需要应用程序级过滤，并且想要获得 HTTP 或类似的数据包，那么您最好的选择可能是 LSP。但请注意，遵循此路径有某些缺点。首先MS似乎正试图摆脱这项技术，而IIRC Windows 7徽标要求的一部分是“您的产品中没有LSP”，他们似乎正在推广Windows 过滤平台。其次，您会对在第 3 方 LSP 兼容性方面遇到的麻烦感到非常惊讶。第三，非常的虚拟 LSP 仍然在 2 KLOC 左右:)

如果您需要 IP 级别的数据包过滤，则需要寻找驱动程序。

Windows 筛选平台为您提供了这两种情况所需的功能。但是，它仅适用于 Windows Vista 及更高版本的产品，因此 XP 上不支持。另一件需要考虑的事情是，WFP 只能在用户态允许/拒绝数据包，如果您需要修改它们，则需要进入内核模式。 （至少当时的情况是这样的，也许他们现在已经有所改善）。

Answer 2

恕我直言，如果你想修改数据包，你需要一些东西来与硬件对话，某种驱动程序。如果您不想使用自己的驱动程序，则应该使用第三方驱动程序进行互操作。

对于过滤，有一些库，例如：winpcap 或 libpcap。

另请查看此处：http://www.ntkernel.com/w& p.php?id=7

另一个链接：http://bittwist.sourceforge.net/

希望这有帮助！

Answer 3

winpcap 只能过滤具有预编译条件的数据包。你需要的是编写LSP级别的网络驱动程序。您不需要每次重新安装它时都重新启动，但它确实可以在数据包发送到网络之前对其进行修改。
更多信息请参见：http://blogs.msdn.com/ wndp/archive/2006/02/09/529031.aspx 或此处：http://www.microsoft.com/msj/0599/LayeredService/LayeredService.aspx

Answer 4

我不是专家，但我希望在我的局域网上做类似的事情。我想拦截来自一个固定 IP 的数据包并在它们进入我的路由器然后进入互联网之前对其进行修改。我还想在允许返回的数据包到达我的主机之前捕获并修改它们。我设想的方法是这样的...

1. ARP 毒害了主机和路由器，所以我的嗅探机让所有数据包都通过它。
2. 分析我将来想要修改的数据包，并查找这些数据包的独特特征，以便我可以捕获它们。
3. 编写一个宏/脚本来实时查找所述特征，然后在发送之前对其进行动态修改。

我知道 Windows 版 Cain&Abel 能够（哈哈）进行 ARP 毒害，但我不确定它是否可以提供数据包内容的原始转储。 Wireshark 能够转储所有内容，但不确定它是否可以 ARP 毒害，以便得到我想要的东西，如果不能，那么我可以轻松地将我想要拦截的主机通过以太网连接到我的嗅探器机器，然后通过共享互联网嗅探器，以便所有数据包无论如何都会通过嗅探器机器。

所以第 1 步可以完成，我不知道所述程序是否有能力根据具体情况进行过滤，但我猜它们有。

据我所知。希望这对某人有帮助，也许其他人可以更进一步？