Filter驱动:过滤(修改)接受数据包

Filter驱动防火墙功能实现
最新推荐文章于 2024-04-19 10:21:00 发布
最新推荐文章于 2024-04-19 10:21:00 发布 · 1.1k 阅读 · 5
文章标签:

#数据结构 #.net #防火墙 #IDEA

本文介绍如何使用Filter驱动实现防火墙功能,包括接收并复制数据包、更改数据(如端口号)、发送修改后的数据包及释放数据包所有权的过程。

Filter驱动可以实现简单的防火墙功能。它可以过滤所有接收到的包,然后进行分析处理,最后根据情况决定是否网上传递给Protocol层,最后给应用程。

我们的原则是不能在接收到的NBL修改数据,因为后面我们还会需要这个完整的包结构,尤其是在调用NdisFReturnNetBufferLists释放NBL的owership的时候。所以第一步要做的就是拷贝数据:拷贝NetBufferList数据

拷贝好了数据之后,我们需要做的是:

  1. 首先通知底层驱动,可能是Miniport driver,意思是:Filter已经收到数据,现在归还NBL的所有权,甚至说Miniport Driver可以继续往NBL写数据了。 
     //Call return function to info the underlying driver of releasing ownership of NBL
        NDIS_SET_RETURN_FLAG(ReturnFlags, NDIS_RETURN_FLAGS_DISPATCH_LEVEL);
        NdisFReturnNetBufferLists(pFilter->FilterHandle, NetBufferLists, ReturnFlags);
     
  2. 其次就是把自己刚才拷贝好的数据,根据需要更改数据,比如更改port number等。
  3. 发送已经更改好的NBL 
     NdisFIndicateReceiveNetBufferLists(
            pFilter->FilterHandle,
            pCopyNetBufferLists,
            PortNumber,
            NumberOfNetBufferLists,
            ReceiveFlags);
     
  4. 最后一步,别忘记了,往上发自己创建的NBL,是不能调用NdisFReturnNetBufferLists的,因为这个是Filter创建的,不是由底层发上来的,如果调用了,就会出错了。所以在FilterReturnNetBufferLists中拦截销毁自己定义的NBL,因为这是protocol已经把NBL中的数据拷贝好了~ 
     if(NetBufferLists->SourceHandle == pFilter->FilterHandle)
    {
        //Please just free this NBL
        ReadNetBuffer(NetBufferLists);//print out something...
        result = FreeMdlAndNetBufferList(NetBufferLists);
        if(result == TRUE)
        {
            DEBUGP(DL_TEST, ("Free my own NBL ======ReturnNetBufferLists\n"));
        }
    }
    else
    {
        NdisFReturnNetBufferLists(pFilter->FilterHandle, NetBufferLists, ReturnFlags);
    }
     
  5. 关于释放NBL,这里贴出来: 
    BOOLEAN
FreeMdlAndNetBufferList
(
    PNET_BUFFER_LIST NetBufferLists
)
{
    BOOLEAN result = FALSE;
    PNET_BUFFER_LIST	CurrNbl,nextNbl= NULL;
    PNET_BUFFER			Currbuff;
    PMDL				mdl,pMdl;
    UINT                BufferLength;
    PUCHAR              pCopyData = NULL;
//Free all the NBLs allocate by myself
    CurrNbl = NetBufferLists;
    while(CurrNbl)
    {
        Currbuff =NET_BUFFER_LIST_FIRST_NB(CurrNbl);
        while(Currbuff)
        {
            pMdl = NET_BUFFER_FIRST_MDL(Currbuff);

            FILTER_ASSERT(pMdl != NULL);
            NdisQueryMdl(
                pMdl,
                (PVOID *)&pCopyData,
                &BufferLength,
                NormalPagePriority);
            FILTER_ASSERT(pCopyData != NULL);
            NdisFreeMdl(pMdl);//Free MDL
            pCopyData = NULL;
            Currbuff = NET_BUFFER_NEXT_NB(Currbuff);
        }
        nextNbl = NET_BUFFER_LIST_NEXT_NBL(CurrNbl);//get Next MBL
        NdisFreeNetBufferList(CurrNbl);//Free CurrentNBL
        CurrNbl = nextNbl;
    }
    result =  TRUE;
    return result;
}

展示运行结果:

首先是拷贝数据结构:

写道
00000066 10.77174854 ===============>copyNetBufferList
00000067 10.77175713 NDISLWF:
00000068 10.77176189 ==============>allocateNetBuffAndNetBufferList
00000069 10.77177429 NDISLWF:
00000070 10.77178001 <==============allocateNetBuffAndNetBufferList
00000071 10.77178478 NDISLWF:
00000072 10.77179432 newBufferLength is 231, mdlOffset is 18 and Current mdl offset 18
00000073 10.77179909 NDISLWF:
00000074 10.77180481 There are 1 NB in this list---_---
00000075 10.77180958 NDISLWF:
00000076 10.77181625 There are 1 NBLs
00000077 10.77182007 <============copyNetBufferList

 最后是往上发送的:

写道
00000079 10.77193928 ===>ReturnNetBufferLists, NetBufferLists is 890D5540.
00000080 10.77194309 NDISLWF:
00000081 10.77194786 ==============>ReadNetBuffer
00000082 10.77195263 NDISLWF:
00000083 10.77195644 ---Read From NBL: Ethernet Header info:
00000084 10.77198792 NDISLWF:
00000085 10.77200031 00-19-e0-e0-2d-30 -> 00-1d-0f-af-50-b0 Mac地址
00000086 10.77200699 NDISLWF:
00000087 10.77201366 DestIPAddr: 221.5.88.88 -> 192.168.1.105 ip地址
00000088 10.77201843 NDISLWF:
00000089 10.77202225 <==============ReadNetBuffer
00000090 10.77202702 NDISLWF:
00000091 10.77203274 Free my own NBL ======ReturnNetBufferLists销毁数据
 
NDIS LWF网络过滤驱动开发(一):LWF简介及数据结构说明
mdcire的专栏
09-27 5353
写在之前:换工作了,做Win驱动开发,还是网络过滤驱动。之前从未接触过这些,只是做着单机的桌面应用程序,所以一切是从头开始。从驱动到网络,很多的不懂,一步步走来,现在多少有些进展了,现在就总结下这段过程.(驱动开发确实麻烦,现在看见蓝屏依然会心惊肉跳).什么是ndis lwf驱动: NDIS: Network Driver Interface Specification.就是微软的一套网络
基于win 10的 NDIS 6.0 Filter 驱动,新增加了收发数据包以及查询网卡Mac地址的代码
最新发布
10-27
操作系统: win 10 x64 VS版本: VisualStudio.17.Release/17.11.4+35312.102 Windows Driver Kit 10.0.26100.1 内容概要: 新增以下功能的NDIS Filter driver,作为案例分析使用的; 1. 发送OID请求; 2. 发送自定义数据包,以ICMP数据包为例; 3. 接收数据包; 可以从代码中学习: 1. 内核OID的请求发送和接收; 2. 内核资源的分配和回收; 3. 数据包的发送和接受
NDIS中间层驱动实现截获数据包、包过滤功能
diaoyo2388的博客
04-29 344
1.包截获功能 http://wenku.baidu.com/view/43960751f01dc281e53af055.html 2.过滤功能 http://wenku.baidu.com/link?url=liryKeW2iMJ-fMnpglQNTqsJggW16RzEcTflkHPA6jaF4VKCyA43Xc5vdPsmuTg87jdQDar0E8niTDqIN9SiP3...
安装驱动程序(2)----安装过滤驱动
lixiangminghate的专栏
08-01 7139
前面 安装驱动程序(1)----驱动预安装 一文讨论了总线驱动/功能驱动和单层过滤驱动的安装,本文将讨论过滤驱动的安装。可能你会觉得奇怪,过滤驱动有必要需要单独讨论吗? 答案是肯定的。1.笔者的同事,前阵子遇到一个类过滤驱动,由于某些原因安装的时候出现问题。笔者凑过去一看,inf文件仅仅提供了ClassGuid,居然没有HardwareID这一栏。而以devcon install安装需要提供ha
Windows驱动编程基础(下)之过滤驱动的安装和框架概述
zhaopeng01zp的博客
04-28 5240
Windows驱动编程基础(下)之过滤驱动的安装和框架概述第六章 过滤驱动的安装和框架概述过滤驱动的概念和安装怎么找设备栈中的功能设备对象呢?如何安装过滤驱动怎么卸载这个过滤驱动呢?另一种安装过滤驱动的方法这两种安装过滤驱动方法的区别:过滤驱动框架 第六章 过滤驱动的安装和框架概述 过滤驱动的概念和安装 怎么找设备栈中的功能设备对象呢? 这就牵扯到注册表了,我们在第一部分讲过和驱动相关的注册表, 上图所选即为虚拟机中网卡的实例ID,PCI就是BusDevice,PCI下面那一堆VEN_15AD&am
ndis6 how to drop packets
weixin_33951761的博客
03-31 221
Inndis6 how to drop packets? inFilterSendNetBufferLists: FILTER_RELEASE_LOCK(&pFilter->Lock, DispatchLevel); //DEBUGP(DL_TRACE, ("<===SendNetBufferList [CheckPacket] drop this pa...
8549057USBFilter1.rar_IBtUsb_Filter_irp检查_usb driver filter_usb
07-13
usb过滤驱动WDM(和KDM)是分层的,在构造设备栈时,IO管理器可以使一个设备对象附加到另外一个初始驱动程序创建的设备对象上...因此,我们可以使用过滤驱动程序来检查、修改、完成它接收到的IRP,或者构造自己的IRP。
libpcap-1.3.0:Linux平台网络数据包捕获核心库
libpcap-1.3.0 是一个广泛应用于类Unix系统(包括Linux)的网络数据包捕获库,其核心功能是为上层应用程序提供底层网络接口的数据包嗅探、过滤和捕获能力。作为一款开源且高度可移植的函数库,libpcap在网络安全、...
WinPcap开发包:Windows平台网络数据包捕获工具
WinPcap 本身是 Berkeley Packet Filter(BPF)技术在 Windows 系统上的实现,提供了底层网络接口访问能力,使得开发者可以在无需依赖高级协议栈的情况下直接从网卡驱动层捕获和发送原始网络数据包。该开发包广泛...
【界面布局与基本操作】捕获与停止操作:开始和结束数据包捕获的步骤
数据包捕获是网络分析和故障排除不可或缺的工具,它允许工程师查看网络上的实时数据流动,从而分析和解决网络问题。我们将从以下几个方面开始介绍: ## 1.1 数据包捕获的重要性 数据包捕获技术在网络管理和监控中...
Filter驱动开发笔记
12-23
整理的一些关于NDIS6 Filter开发的资料
西电捷通: Windows LWF驱动如何兼容TISec客户端
ITwarm的博客
02-21 2487
LWF驱动(Lightweight Filter,简称LWF)是微软Windows操作系统NDIS(Network Driver Interface Specification,简称NDIS) 6.0 引入的一种新型网络过滤驱动。LWF驱动具有更加出色的平台兼容性,甚至可以支持Windows 10,因此成为微软力荐的网络驱动实现方式,并且由此得到广泛的应用。而TISec即IP网络安全可信技术(Trust of IP Security,TISec)是一项用来保护 IP 通信安全的协议技术,系西电捷通三元对等安
wfp网络过滤框架总结()
研究源码的最底层,只持有正确的仓位
01-15 9574
By feivirus 2013-11-24   一。基本术语定义 callout 为扩展wfp性能提供的一个功能,由一系列call function和一个guid key组成,wfp内置了几个callouts。用户可以通过callout drivers自己添加callout。 callout driver 实现一个或者多个callouts 的内核驱动,这个驱动通过向filter engi...
启动应用程序出现mprmsg.dll找不到问题解决
wbcmbfy的博客
04-19 2653
其实很多用户玩单机游戏或者安装软件的时候就出现过这种问题,如果是新手第一时间会认为是软件或游戏出错了,其实并不是这样,其主要原因就是你电脑系统的该dll文件丢失了或没有安装一些系统软件平台所需要的动态链接库,这时你可以下载这个mprmsg.dll文件(挑选合适的版本文件)把它放入到程序或系统目录中,当我们执行某一个.exe程序时,相应的DLL文件就会被调用,因此将缺失的文件放回到原目录之后就能打开你的软件或游戏了.那么出现mprmsg.dll丢失要怎么解决?
NDIS驱动实现数据包捕获与过滤技术
为了捕获和过滤数据包,NDIS驱动开发者需要使用NDIS提供的过滤数据包处理功能,如NDIS过滤驱动程序接口(Filter Driver Interface),来注册相应的回调函数,以便在数据包处理流程中的特定点进行干预和过滤...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值