Windows NT下开发网络监控程序

最新推荐文章于 2019-08-07 17:53:20 发布
最新推荐文章于 2019-08-07 17:53:20 发布
阅读量1.3k 收藏 1
点赞数
文章标签: windows 网络 filter 工作 microsoft internet

Windows NT下开发网络监控程序

信息工程大学信息安全学院 许士博 颜学雄 王清贤

  本文简单地介绍了Windows系统中的NDIS及应用程序与它的交互,重点介绍怎样利用一个辅助的开发包(Packet32)直接对网卡进行操作及对接收到的数据进行分析。 

  维护网络安全的一项重要技术就是网络的实时监控,它要对网络上的所有数据进行检查,而现在的大部分操作系统是不允许用户这样做的,但是我们可以自己开发或者利用现有的底层网络驱动程序来实现。目前Unix环境下网络监控程序的开发包有很多,而Windows环境下的开发包很少,因为Windows的封装性特别强,开发困难大。

  一、Windows系统中的网络通信结构

  1.Windows系统中的网络通信结构 

  图1的上层应用程序包括IE、Outlook等各种基于网络的软件,网络驱动协议包括TCP/IP、NETBEUI等各种Windows支持的网络层、传输层协议,NDIS是Windows操作系统网络功能驱动的关键部分,下面对NDIS进行介绍。 

  2.NDIS及其特点 

  NDIS(Network Driver Interface Specification)是Microsoft和 3Com公司联合制定的网络驱动规范,并提供了大量的操作函数。它为上层的协议驱动提供服务,屏蔽了下层各种网卡的差别。 

  NDIS向上支持多种网络协议,比如TCP/IP、NWLink IPX/SPX、NETBEUI等,向下支持不同厂家生产的多种网卡。NDIS还支持多种工作模式,支持多处理器,提供一个完备的NDIS库(Library)。 但库中所提供的各个函数都是工作在核心模式下的,用户不宜直接操作,这就需要寻找另外的接口。 

  二、一个非常有用的开发包

  澳大利亚的Canberra大学信息科学与工程系1997年在 Windows NT环境下研制了一个网络开发包Packet32,应用程序通过它可以设置网卡的工作模式,直接在网卡上读写数据。 
  1.Packet32的原理 

  如图2所示,Packet32为用户提供了一个面向低层的网络编程接口。 

  2.网卡的工作模式 

  广播模式:目的物理地址是0xFFFFFF的帧为广播帧,工作在广播模式的网卡接收广播帧。 

  多播传送(组内广播):D类IP地址是用于组内广播的,也就是一个人发出的包可以同时被其他多个有资格的人接收,这个人和那些有资格的人就形成了一个组,他们在组内的通信是广播式的。与此相对应,在物理层也存在着组内广播(或多播传送),以多播传送地址作为目的物理地址的帧可以被组内的其他主机同时接收,而组外主机却接收不到。但是,如果将网卡设置为多播传送模式,它可以接收所有的多播传送帧,而不论它是不是组内成员。 

  直接模式:工作在直接模式下的网卡只接收目的地址是自己的地址的帧。 

  混杂模式:工作在混杂模式下的网卡接受所有的流过网卡的帧,监控程序就是在这种模式下运行的。 

  网卡的缺省工作模式包含广播模式和直接模式,即它只接收广播帧和发给自己的帧。利用Packet32包可以将网卡设置为以上的任意模式。 

  3.Packet32包的内容 

  Packet驱动:Oemsetup.inf安装信息文件、Packet.sys系统文件,在利用Packet32包开发网络监控程序前,需要用这两个文件安装Packet驱动。 

  Packet32程序开发库:Packet32.lib静态链接库、 Packet32.dll动态链接库,用户可以通过调用库中的函数直接对网卡进行操作。 

  4.Packet32包的使用 

  两个数据结构: 

网卡结构: typedef struct _ADAPTER {
     HANDLE hFile;
TCHAR SymbolicLink[MAX_LINK_NAME_LENGTH];
       } ADAPTER, *LPADAPTER;
  数据包结构: typedef struct _PACKET {
      HANDLE hEvent;
        OVERLAPPED OverLapped;
       PVOID Buffer;
        UINT Length;
         } PACKET, *LPPACKET;

  主要的函数: 

  PVOID PacketOpenAdapter(LPTSTR AdapterName),网卡的打开函数,AdapterName是要打开的网卡的名字,返回该网卡的结构指针。 

  BOOLEAN PacketSendPacket(LPADAPTER lpAdapter,LPPACKET lpPacket, 

  BOOLEAN Sync),数据包发送函数,lpAdapter是已经打开的网卡的结构指针,lpPacket是要发送的数据包的结构指针,Sync是同步、异步标志,TRUE为同步,FALSE为异步。 

  PVOID PacketAllocatePacket(VOID),数据包申请函数。 

VOID PacketInitPacket(LPPACKET lpPacket, 
PVOID Buffer,

  UINT Length),数据包初始化函数,lpPacket是数据包结构指针,Buffer是存放数据的缓冲区,Length是缓冲区的大小。 

  VOID PacketFreePacket(LPPACKET lpPacket),数据包释放函数。 

  ULONG PacketGetAddress(LPADAPTER lpAdapter,PUCHAR AddressBuffer),获取网卡的物理地址,该函数将网卡lpAdapter的物理地址放入缓冲区 AddressBuffer,返回值是地址的长度。 

BOOLEAN PacketReceivePacket
(LPADAPTER lpAdapter,
LPPACKET lpPacket,
BOOLEAN Sync,

  PULONG BytesReceived),数据包接收函数,该函数从网卡lpAdapter接收数据包,并将数据包放入lpPacket,Sync是同步、异步标志, BytesReceived是实际接收到的字节数,若接收成功返回TRUE,否则返回FALSE。 

  VOID PacketCloseAdapter(LPADAPTER lpAdapter),关闭网卡lpAdapter。 

  BOOLEAN PacketSetFilter(LPADAPTER lpAdapter, 

  ULONG Filter),设置网卡的工作模式,该函数将网卡设置成为指定的Filter模式,成功返回TRUE,失败返回FALSE。 

  ULONG PacketGetAdapterNames(PTSTR pStr, 

  PULONG BufferSize),获得网卡的名字,该函数从注册表获取网卡的名字,并将它放入pStr,BufferSize为名字的长度。

  三、 一个简单实例 

  下面这段程序在VC++环境下编译、运行通过,它将网卡设为混杂模式并接收一个帧。 
#define NDIS_PACKET_TYPE_DIRECTED
0x0001 //直接模式。
#define NDIS_PACKET_TYPE_MULTICAST
0x0002 //多播传送模式。
#define NDIS_PACKET_TYPE_BROADCAST
0x0008 //广播模式。
#define NDIS_PACKET_TYPE_PROMISCUOUS
0x0020 //混杂模式。
LPADAPTER lpAdapter;
LPPACKET lpPacket;
ULONG Filter = 0;
TCHAR NameBuf[256];
  UCHAR buf[1514];
ULONG Length;
ULONG NameLength = 256;
UCHAR Address[6];
 PacketGetAdapterNames(NameBuf, &NameLength);
  lpAdapter = PacketOpenAdapter(NameBuf);
Filter = NDIS_PACKET_TYPE_PROMISCUOUS;
 //混杂模式。
PacketSetFilter(lpAdapter, Filter);
PacketGetAddress(lpAdapter, Address);
  lpPacket = PacketAllocatePacket();
PacketInitPacket(lpPacket, buf, 1514);
PacketReceivePacket(lpAdapter, lpPacket, 
TRUE, &Length);
  PacketFreePacket(lpPacket);
  PacketCloseAdapter(lpAdapter);

  四、 数据分析 

  Internet的一个主要应用方式是通过浏览器获取信息,它所用的Http协议是基于TCP/IP协议的,现在我们以监控Http的连接请求为例,介绍一下数据的分析过程。 
  首先要提取出IP包,利用Packet32包接收到的是物理帧的内容,格式如下: 

  帧格式字段的值标明帧数据的类型,若是08 00(16进制),说明是IP数据包;若是08 06(16进制),说明是ARP数据包;若是80 35(16 进制),说明是RARP数据包,等等。通过判断帧格式字段的值可以提取出IP数据包,此时帧数据区的内容格式为: 

  其中,协议字段的值标明了IP数据区的内容类型,若为 6说明为TCP包,若为17 说明为UDP包,若为1说明为ICMP包,若为2 说明为IGMP 包,等等。Http数据是通过TCP进行传输的,通过判断IP报头中协议字段的值可以提取出TCP包,它的格式为: 

  因为Http服务的端口号是80,所以通过检查TCP报头中的端口号就可以知道是不是Http数据,若目的端口号为80,则说明是Http连接请求包,我们就可以采取一些相应的措施。 

  五、 结束语

  因为Internet上流动的是海量数据,而且数据的流量是随机的,所以肯定存在丢包的情况,这是无法避免的。但我们可以采取一些改善措施,使丢包率尽可能小。有两种方法:一是选用合适的缓冲区管理方法,并且接收过程和处理过程并行进行;二是在多个机器上同时进行监控。 

aiwtu
关注
C++ 应用软件开发从入门到精通详解
dvlinker的技术专栏
06-21 2万+
本文详细介绍一下Windows平台下用C++开发应用软件的诸多内容,以供大家借鉴或参考。
开发windows驱动程序,实现监控文件读写操作.zip
12-27
开发windows驱动程序,实现监控文件读写操作.zip C语言难,VC更难,C驱动更是难上加难
文件监控(教学版)
weixin_34092370的博客
11-19 172
参考FileSpy写的文件监控程序,但比它的抽象多了。可能瑞星的文件驱动也是这样写的,否则它为什么老阻止我安装驱动呢。测试程序是一个命令行小程序,负责打开设备,开启监控和关闭监控,运行时开启和关闭两次。   在DebugView中查看输出信息,我只是想看看能不能达到目的,所以信息量很少。   在驱动程序中开启和关闭监控的代码:   VOID AttachedToDeviceByName...
基于ARP欺骗的TCP伪连接D.o.S
weixin_30752699的博客
08-07 438
基于ARP欺骗的TCP伪连接D.o.S 作者: ffantasyYD 从某种意义上说,如果能够制造TCP伪连接,那么D.o.S也就比较容易实现了。以前LionD8就曾经用这个思路做出了一个新型D.o.S,而今天,我用的也是这个思路。但是,如果直接伪造TCP三次握手而不作其他任何处理,那却是不行的。因为,当攻击的目标主机接收到我们发过去的伪造的SYN包后会发回一个SYN+ACK包(也就是...
深度剖析WinPcap之(八)——打开与关闭适配器(12)
理性的幻想
06-23 929
本文转自http://eslxf.blog.51cto.com/918801/208598   1.5.2.1.2     PacketGetNetType函数 函数PacketGetNetType返回一个适配器的MAC类型的信息。函数原型如下 BOOLEAN PacketGetNetType(LPADAPTER AdapterObject, NetType *type);
监听以太网(四) Packet32函数SDK (转)
csd3176的博客
12-12 151
监听以太网(四) Packet32函数SDK (转)[@more@]监听以太网(四) Packet32函数SDK Article last modified on 2002-9-18 The information in t...
WindowsNT内核下文件系统过滤驱动程序开发
07-30
Windows NT内核架构中,文件系统过滤驱动程序(File System Filter Driver,FSFD)是一种特殊的内核模式驱动程序。它位于文件系统驱动(File System Driver,FSD)之上,文件系统驱动位于本地卷设备驱动之上,负责...
尼特NT8001系列控制器配置程序最新版V6.0
02-27
总体来说,尼特NT8001系列控制器配置程序V6.0是基于C#开发的,利用微软的开发工具和技术,提供了一套全面的后端解决方案,旨在优化控制器的配置和管理,提高工业自动化系统的效率和可靠性。对于用户而言,它提供了...
visual c++开发windows service,服务的功能就是个GUI窗体 vc基于MFC对话框的NT服务程序框架.zip
01-24
本项目"visual c++开发windows service,服务的功能就是个GUI窗体 vc基于MFC对话框的NT服务程序框架.zip"主要探讨了如何利用MFC(Microsoft Foundation Classes)库来创建一个具有图形用户界面(GUI)的NT服务。...
用ARP探测网络中的混杂模式节点
weixin_30918415的博客
08-07 286
用ARP探测网络中的混杂模式节点 作者:Refdom 由于sniffer的危害,检测网络中是否存在sniffer也非常重要。Anti-Sniff就相应地产生,来检测网络中的sniffer。 检测sniffer的办法有很多,比如有些功能强大的sniffer会对IP地址进行解析获得机器名,那么可以通过发送畸形数据包等待sniffer进行DNS解析等等,但是这些办法局限太大了。 根据sniffe...
关于如何实现wince6.0 下网络抓包的实现总结
zjai2004的专栏
05-26 2248
自己耗费了2个月的时间在,师傅的帮助下总算将这个功能实现出来了。下面对这个功能的实现进行一个简单的总结。希望这篇文章能给大家帮助。    首先,如果采用一般的网络通信过程中的原始套接字的功能来实现方法在wince6.0下是行不通的。如何通过套接字实现,网络上已经都讲得很清楚了,这里我就不多说了,大家可以自己去搜索。 实现过程: 1.       从wince自带的目录底下:C:\WINCE6
检测当前网卡是否处于混杂模式
辰枫的专栏
10-17 2379
实际上方法很简单,打开一个网卡设备,查询其全局统计信息(IOCTL_NDIS_QUERY_GLOBAL_STATS),然后判断相应的标志位(NDIS_PACKET_TYPE_PROMISCUOUS)是否设置,即可判断此网卡是否进入混杂模式。      首先还是枚举网卡ID,我这儿偷懒直接用WinPCap提供的PacketGetAdapterNames函数,获取网卡列表。WinPCap 3.x返回
监听以太网(四) Packet32函数SDK
zy122的专栏
12-01 2314
Packet32包中的函数说明: No.3. PacketSetHwFilter (设置过滤器) 设置一个hardware filter。比如,Filter参数传递NDIS_PACKET_TYPE_PROMISCUOUS,就可以设置网卡为混杂模式。 BOOLEAN PacketSetHwFilter( LPADAPTER AdapterObject, ULONG Filter ); Paramet
内核中设置混杂模式(NDIS_PACKET_TYPE_PROMISCUOUS)
weixin_34138255的博客
05-31 242
在passthru中 MPSetInformation添加以下代码 if( Oid == OID_GEN_CURRENT_PACKET_FILTER && InformationBufferLength >= sizeof(ULONG) )  {             。。。。。。。      *(ULONG*)InformationBuffer |= NDIS_P...
详谈调用winpcap驱动写arp多功能工具
chewinggum的专栏
08-24 1685
详谈调用winpcap驱动写arp多功能工具一 winpcap驱动简介二 Packet.dll相关数据结构及函数三 T-ARP功能及原理介绍四 T-ARP主要代码分析五 T-ARP源代码 一、winpcap驱动简介winpcap(windows packet capture)是windows平台下一个免费,公共的网络访问系统。(编者注:WinpCap开发包可以到以下两个网址下载: (1)http:
Win64 驱动内核编程-16.WFP网络监控驱动(防火墙)
热门推荐
天使也掉毛
03-14 1万+
WFP驱动监控网络     WFP 是微软推出来替代 TDI HOOK、NDIS HOOK 等拦截网络通信的方案,WFP 的框架非常庞大,在 RING3 和 RING0 各有一套类似的函数,令人兴奋的是,即使在 R3 使用 WFP,也可以做到全局拦截访问网络。由于 WFP 的范围太广,实在难以一言概括,感兴趣的朋友可以自行到 MSDN 上查看微软对它的官方概述。本文的目的,是给大家理顺 WFP 
使用Sniffer截获流经本机网卡的IP数据包
raphyer的专栏
10-07 3579
Win2K下的Sniffer工具源代码 详细信息   Win2K下的Sniffer源代码。[代码性质] VC完整应用程序代码[代码作者] zw[文件大小] 130K [更新日期] 2002-11-26 19:47:00 [下载次数] 6015  http://www.vckbase.com/code/downcode.asp?id=1692IP包监听程序(For 9x)源代码 详细信息
Windows Mobile开发总结 (转帖)
weixin_33835690的博客
08-10 290
结合自己4,5月份开发手机视频监控系统经历, 来对那段时间的Windows Mobile开发进行总结一下. 说起Windows Mobile开发这事自己几乎是从零开始起步, 原先主要从事J2EE/Asp.Net下的Web应用开发, 从来没有接触过移动应用开发方面; 说零起步, 夸张点了, 好在至少对自己决定采用的开发工具Vs 2005还是有相当了解的, 从大学开始就用它开发Asp.Net/WinF...
Windows NT4.0下嵌入式设备驱动开发详解
“嵌入式系统/ARM技术中的设备驱动程序开发与应用,涉及Windows NT4.0内核模式下的驱动程序开发,包括驱动程序的核心代码解析、结构功能讲解以及如何编写实用驱动程序。” 在嵌入式系统和ARM技术领域,设备驱动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值