捕获数据包然后丢弃数据包 IPS 系统

Question

在windows中是否有任何可能的方法来“丢弃”数据包，就像真正的IPS（入侵防御系统）一样，类似于unix中的iptables。

另外，如果我使用 matlab，有没有办法“捕获网络上的数据包”并将它们输入神经网络？ Windows 上的 Matlab 就是这样。

我很难理解 libpcap 如何“捕获”数据，但又不能实时“删除”数据？

相当烦人的snort无法做到这一点，snort仅在Windows上充当IDS，但在Linux上充当IDS/IPS，因为它能够对iptables进行正确的规则。

Answer 1

对于 Windows 7/Vista，您可以使用 Windows 过滤平台 (WFP) API 进行简单的数据包过滤，类似于使用 iptables 可以实现的功能。然而，该 API 有点冗长。

对于更复杂的过滤，例如负载解析/检查的 URL 过滤，您需要 (1) 编写设备驱动程序，例如 WFP 标注驱动程序，或 (2) 使用可以将数据包转移给用户的第三方包-模式应用程序。

对于后者，有 WinDivert (GLPv3) 和 WinpkFilter（商业许可证）。这两个包都是 C/C++，因此您需要编写适当的 MatLab 绑定。 披露：我是 WinDivert 的作者。

警告技术：像 Winpcap 这样的软件包不会也不能丢弃数据包，因为它使用的驱动程序类型（NDIS 协议驱动程序） ，准确地说）。协议头只能看到数据包的副本，无法阻止原始数据包。为此，他们需要将 Winpcap 驱动程序重新实现为 NDIS IM 或 LWF 驱动程序。