window filter platform (wfp)修改TCP数据包的方法

最新推荐文章于 2024-02-26 16:27:01 发布
最新推荐文章于 2024-02-26 16:27:01 发布
阅读量9.8k 收藏 10
点赞数 1
分类专栏: windows驱动 文章标签: TCP-WFP驱动 修改TCP数据包
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lxf20054658/article/details/50417568
版权

问题描述:使用WFP重定向了TCP链接到本地localhost后,为了能够告诉应用层原始链接的地址和端口,需要修改数据包,即在三次握手后插入一个自定义包。在实现这个小小功能时,遇到了不少问题,走了很多弯路,希望在此记录一下,以备不时之需,也希望能够对有需要的朋友有所帮忙,因为WFP驱动,基本没有中文资料,所有的资料和问题都需要亲自到MSDN找,也是大费周折。
很显然,TCP的重定向,参考了MSDN的资料后(tcp重定向之MSDN资料),很快的实现了重定向到本地服务进程,但是要让服务进程知道原始链接的地址和端口,我一开始是在FWPM_LAYER_OUTBOUND_TRANSPORT_V4这一层去设置ClassiFy回调函数,因为按照数据传输流程,在这一层,数据包已经包含了TCP头,所以要想在这里改变数据包,十分困难,需要自行维护SYN和ACK计数,这基本是出力不讨好的事,很容易出错。经历了两周的不同方法的尝试,最后在FWPM_LAYER_STREAM_V4这一层设置回调函数,成功的改变了数据包的内容,之所以能成功,是因为这一层,数据包还没有进行任何的tcp或者ip组包,这就不需要自己去维护SYN和ACK计数,十分方便,只要判断好streamFlag是FWPS_STREAM_FLAG_SEND还是FWPS_STREAM_FLAG_RECV就可以控制数据了。就这么一个简简单单的问题,我曾在MSDN发帖相问,也没人愿意解答,所以就只能自己摸索,这里因为商业的事情,就不再贴代码了,不过已经将解决类似问题的方法给了出来。
此外,很有必要了解一下WFP分层模型的数据传输流程(tcp数据传输流程)。在国内,因为不能再方便的使用谷歌搜索,用百度基本无法搜索这些技术问题,所以推荐使用必应搜索,搜英文关键词,或者直接到MSDN搜索关键词或者相关的WFP的API,基本都能找到要找的东西。
因为我的职业规划是先成为一名架构师,也希望在大数据这方面有所作为,所以不想再从事驱动或者纯PC客户端软件的开发。如果有架构师或者大数据这方面的牛人,还希望能够指点一二。如果牛人你希望能够方便的交流,可以加群——496187602(本群宗旨:阅好书,乐分享,善交流,施仁义,绘人生,追梦!),不愿意交流,不愿意分享者勿扰!

zxhyxwwu
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 8
    评论
专栏目录
c++基于WFP(Windows Filter Platform)的个人防火墙系统.zip
08-16
c++基于WFP(Windows Filter Platform)的个人防火墙系统
基于WFPwindows驱动TCP数据的抓取,修改以及注意事项
Mr_oOo_的博客
12-24 5335
这里讲了很多干货:checksum offload的问题; WFP过滤驱动;修改tcp报头;
wfp网络过滤框架总结(一)
研究源码的最底层,只持有正确的仓位
01-15 8981
By feivirus 2013-11-24   一。基本术语定义 callout 为扩展wfp性能提供的一个功能,由一系列call function和一个guid key组成,wfp内置了几个callouts。用户可以通过callout drivers自己添加callout。 callout driver 实现一个或者多个callouts 的内核驱动,这个驱动通过向filter engi...
Netfilter简介
railzen的博客
02-26 806
Netfilter是由Rusty Russell提出的自Linux 2.4添加的内核防火墙框架,该框架既简洁又灵活,可实现安全策略应用中的许多功能,如数据包过滤、数据包处理、地址伪装、透明代理、动态网络地址转换(Network Address Translation,NAT),以及基于用户及媒体访问控制(Media Access Control,MAC)地址的过滤和基于状态的过滤、包速率限制等。
驱动开发】Windows过滤平台(WFPWindows Filtering Platform
qq_42814021的博客
04-13 2436
TDI:Transport Driver Interface,传输层接口。TDI在Windows Vista之后就不再支持了,之后的版本中被WFP取代。socket可以指定某种方式开始传输用户的数据(比如TCP或UDP),这就是传输层。传输层的特点是:用户只需要关心实际需要传输的用户数据,而不用担心数据实际的发送次数、如何封装、如何确定发送正确性、出错何重发等。Windows过滤平台(Windows Filter Platform),是从Vista系统后新增的一套系统API和服务,为网络数据包过滤。
WFP-Traffic-Redirection-Driver:WFP流量重定向驱动程序用于基于Windows筛选平台(WFP)重定向网络层和成帧层上的NIC流量
05-09
WFP流量重定向驱动程序 WFP流量重定向驱动程序用于基于Windows筛选平台(WFP)重定向网络层和成帧层上的NIC流量。 该项目是从派生的。 特征 灵活且可配置 反流量嗅探(WinPcap / Npcap / Rawsock嗅探) 如何建立/部署 要求 Visual Studio 2017 Windows驱动程序套件10 建立/部署步骤 在主机上的Visual Studio中生成.vcxproj 在目标计算机上启用测试签名 在目标计算机上安装.cer (证书)和.inf (驱动程序配置) 有关更多信息,请参见。 如何使用 设置注册表 按键下的设置值: HKLM\System\CurrentControlSet\Services\inspect\Parameters 下表显示了所有值: 价值 类型 例子 LocalRealAddress REG_SZ 10.109.16
基于WDF驱动模型使用WFP框架进行网络层数据修改
skjie的博客
07-20 2546
基于WDF驱动模型使用WFP框架进行网络层数据修改
写一个WFP驱动,拦截网络
weixin_42593130的博客
02-03 342
WFP(Windows Filtering Platform)驱动是一种Windows操作系统内核级别的网络过滤驱动。它通过拦截和修改网络数据包来控制网络流量。要编写一个WFP驱动,需要深入了解Windows内核和WFP技术,以及C++编程语言。因此,这是一项技术性挑战较大的任务。 ...
Windows7以上使用WFP驱动框架实现IP数据包截取(一)
热门推荐
fanxiushu的专栏
10-13 1万+
                                                                                                              By fanxiushu 2017-10-11 转载或引用请注明原始作者。 WFPWindows Filtering Platform驱动框架,也许很多人都不熟悉,
[x64驱动] - WFP网络监控驱动
LYSM
08-20 2524
背景 WFP 是微软推出来替代 TDI HOOK、NDIS HOOK 等拦截网络通信的方案,WFP 的框架非常庞大,在 RING3 和 RING0 各有一套类似的函数,令人兴奋的是,即使在 R3 使用 WFP,也可以做到全局拦截访问网络。本文介绍利用 WFP 拦截指定进程访问网络,或拦截对指定 IP 地址/端口的访问。 原理 一个标准的 WFP 程序大体是这样子的 使用 FwpmEngineOpen 开启 WFP 引擎 用 FwpmTransactionBegin 设置对网络通信内容的过滤权限 用
Linux下如何修改TCP数据包内容
c_cppcoder的博客
08-19 2031
Linux下如何修改TCP数据包内容
wfp_wfp_
09-29
wfp使用文档,包含创建和使用,中文ppt
修改TCP/IP修改TCP/IP
01-10
如何修改TCP/IP并发连接数,网络上提供不少修改办法,但其中有不少是行通的,本文将做详细分析. 一、注册表修改法的误区 为了突破SP2对TCP并发连接数的限制,网上曾经流传过一种修改注册表的方法,操作步骤如下: 单击“开始”/运行,输入Regedit打开注册表,定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters下,修改的“TcpNumConnections”的键值,将之由10改为150,即设置TCP最大并发连接数为150。 经过实际测试,我们发现该方法看起来有效,但实质上并不能突破并发连接数限制,提高SP2的多线程访问速度。因为SP2对线程数目的控制,是通过“Tcpip.sys”这个系统文件来实现的,并不是通过注册表实现的,因此,该方法不能增加SP2的TCP并发连接数。 二、使用工具来替换Tcpip.sys 为了突破SP2的TCP并发连接数限制,正确地方法修改Windows XP SP2的系统文件Tcpip.sys。Tcpip.sys是Windows XP SP2重要的系统文件,位于“C:\Windows\system32\drivers目录下。该文件由于平时受到系统保护,所以正常情况下你是无法替换它的,必须在安全模式或纯DOS模式下才能替换,建议你使用以下专门工具、来替换“Tcpip.sys”文件,操作步骤如下: 从网上http://www.lvllord.de/download.php?url=en/EvID4226Patch223d-en.zip下载替换工具(仅为30KB),用它来修改系统文件Tcpip.sys最大安全并发连接限制;然后备份一下C:\Windows\system32\drivers\Tcpip.sys文件。 接下来,双击打开下载文件ZIP压缩包,运行其中的替换工具EvID4226Patch.exe,随之将弹出一个命令行提示符窗口,首先显示Windows当前的Tcpip.sys文件版本,以及并发连接的限制数值(默认为10);接着询问你是否将连接数限制在50,你可以选择“Yes/No/Change”,如果你输入“Y”,则会将并发连接数改为“50”,如果想改为其他数(例如150),可以在提示符后输入“c”,然后输入最大的并发连接数(例如150)回车,最后在提示符下输入“Y”并回车,这样就替换了Tcpip.sys文件;Tcpip.sys文件被替换后,随之会弹出系统文件保护对话框,你可以点击“取消”按钮,然后点击“是”按钮,重新启动后,Tcpip.sys文件的替换就大功告成了! 现在你的最大并发连接数已超过10个,达到了150个,因此Windows XP SP2的多线程访问速度得到了提升,当你用FlashGet、BT等多线程下载时,就不会感到网络带宽的限制了。 三、DOS下修改Tcpip.sys文件 以上替换程序EvID4226Patch.exe也可以在DOS下使用,方法是:首先把EvID4226Patch.exe拷贝到C盘根目录下;然后再进入DOS模式,进入C盘根目录,输入命令EvID4226Patch/L=$n$/w=C:\WINDOWS\system32\drivers/L=tcpip.sys即可修改Tcpip.sys文件。 注意:以上$n$为你要设置的最大安全连接数,假如要把最大并发连接数设置为150个线程,那么输入命令EvID4226Patch/L=150/w=C:\WINDOWS\system32\drivers/L=tcpip.sys即可。
TabWindow.zip
12-21
博客 WPF窗口允许通过拖放进行切换 中的演示demo和实现方法代码等,内部包含TabWindow和TabWindowDemo两部分
wfp.rar_wfp
09-20
这个是编译原理的实验~~实验名称为自动机是大学三年级的实验
实验二C#_wfp_
10-01
使用WFP应用程序,生成一个计时的数学计算小游戏(内含工程文件和项目报告)
2014年311教育学专业基础综合答案解析.pdf
04-24
教育学考研,考研真题,全国硕士研究生统一考试教育学专业基础综合真题及解析,311历年真题,参考答案,答案解析。教育学统考。
大语言模型安全测试方法
04-24
4月16日联合国日内瓦总部万国宫,由世界数字技术院(WDTA)与云安全联盟大中华区(CSA GCR)联合主办第27届联合国科技大会AI边会上,世界数字技术院(WDTA)发布了两项具有重要意义的国际标准:“生成式人工智能应用安全测试标准”和“大语言模型安全测试方法”。这是国际组织首次在生成式AI应用安全、大模型安全领域发布国际标准,为业界提供了统一的测试框架,标准的发布将对人工智能领域产生深远影响,推动人工智能技术的安全、可靠发展。 这两大标准由云安全联盟大中华区研究院副院长黄连金带领的专家团队编制而成,他们来自CSA大中华区、OpenAI、蚂蚁集团、谷歌、微软、亚马逊、英伟达、OPPO、科大讯飞、百度、腾讯、加州大学伯克利分校、芝加哥大学、香港科技大学等数十家单位,体现了业界的广泛协作与集体智慧。 云安全联盟大中华区主席、世界数字技术院执行理事长李雨航院士发布时介绍,“生成式人工智能应用安全测试标准”为测试和验证生成式AI应用的安全性提供了一个框架,特别是那些使用大语言模型构建的应用程序。它定义了人工智能应用程序架构每一层的测试和验证范围,确保AI应用各个方面都经过严格的安全性和合规性
基于ssm电商网站的设计与实现(部署视频)_kaic.zip
最新发布
04-24
目 录 目 录 1 绪论 1.1 研究背景 1.2 目的和意义 1.3 论文结构安排 2 相关技术 2.1 SSM框架介绍 2.2 B/S结构介绍 2.3 MYSQL数据库介绍 3 系统分析 3.1 系统可行性分析 3.1.1 技术可行性分析 3.1.2 经济可行性分析 3.1.3 运行可行性分析 3.2 系统性能分析 3.2.1 易用性指标 3.2.2 可扩展性指标 3.2.3 健壮性指标 3.2.4 安全性指标 3.3 系统流程分析 3.3.1 操作流程分析 3.3.2 登录流程分析 3.3.3 信息添加流程分析 3.3.4 信息删除流程分析 4 系统设计 4.1 系统概要设计 4.2 系统功能结构设计 4.3 数据库设计 4.3.1 数据库E-R图设计 4.3.2 数据库表结构设计 5 系统实现 5.1用户信息管理 5.2 商品信息管理 5.3商品分类管理 5.1商品资讯管理 6 系统测试 6.1 系统测试的特点  6.2 系统功能测试 6.2.1 登录功能测试 6.2.2 添加类别功能测试 6.3 测试结果分析 结 论 致 谢 参考文献
Windwos 驱动WFP
06-11
WFP (Windows Filtering Platform) 是 Windows 操作系统中的一种网络包过滤框架,它提供了一种通用的方式来处理网络流量。Windows 驱动程序可以使用 WFP API 来实现网络包过滤和处理功能。WFP 驱动程序可以通过注册自己的过滤器和层来实现不同的网络包处理功能,比如防火墙、流量监测、VPN 等。需要注意的是,开发 WFP 驱动程序需要一定的驱动程序开发经验和专业知识,因为它需要处理底层的网络协议和数据包结构。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 8
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

zxhyxwwu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值