WFP 原理

最新推荐文章于 2024-08-16 13:36:25 发布
最新推荐文章于 2024-08-16 13:36:25 发布
阅读量6.8k 收藏 5
点赞数
分类专栏: 网络过滤
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jimk1983/article/details/78284421
版权
(WIN7 32位开发驱动:  X86的纯净版的KEY: HTXFV-FH8YX-VCY69-JJGBK-7R6XP)
数据流处理: (入站和出站都是一样)
1. 一个包进入到了协议栈
2. 协议栈找到并发现一个shim(垫片),应该就是很多的sublayer注册的地方。
3. 该shim(垫片)调用该特定的sublayer层注册的Classfication分类进行处理。
4. 在分类处理期间,过滤器开始工作,进行条件匹配,如果条件匹配上,那么就开始调用对应的callout
5. 如果过滤器的结果是匹配的,调用对应的callout的处理函数,classfyFn()
6. 垫片执行最终的过滤决定(permit还是deny)

WFP的架构图:
Basic architecture of the Windows Filtering Platform diagram

TCP流量包分析: (PC基本上的场景都是客户端,所以只是针对客户端进行分析)
1. TCP链接建立
  • bind: FWPM_LAYER_ALE_BIND_REDIRECT_V4 (Windows 7 / Windows Server 2008 R2 only)
  • bind: FWPM_LAYER_ALE_RESOURCE_ASSIGNMENT_V4
  • connect: FWPM_LAYER_ALE_CONNECT_REDIRECT_V4 (Windows 7 / Windows Server 2008 R2 only)  ---链接重定向
  • connect: FWPM_LAYER_ALE_AUTH_CONNECT_V4         ----链接授权,允不允许连接
  • SYN: FWPM_LAYER_OUTBOUND_TRANSPORT_V4        ----发送SYN
  • SYN: FWPM_LAYER_OUTBOUND_IPPACKET_V4             ---IP层的SYN
  • SYN-ACK: FWPM_LAYER_INBOUND_IPPACKET_V4        
  • SYN-ACK: FWPM_LAYER_INBOUND_TRANSPORT_V4
  • FWPM_LAYER_ALE_FLOW_ESTABLISHED_V4                 ----链接建立
  • ACK: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • ACK: FWPM_LAYER_OUTBOUND_IPPACKET_V4
2. TCP的数据流的传输

Client (sender)

  • send
  • data: FWPM_LAYER_STREAM_V4 ---数据层
  • TCP segments: FWPM_LAYER_OUTBOUND_TRANSPORT_V4
  • IP datagrams: FWPM_LAYER_OUTBOUND_IPPACKET_V4

WFP开发之路:
https://docs.microsoft.com/zh-cn/windows-hardware/drivers/network/windows-filtering-platform-callout-drivers2
大致就是: 先学习WFP架构,学习windows架构和驱动,选择windows的驱动模式(用户还是内核),驱动编译,github的驱动示例,开发,编译,测试,调试,创建驱动包,给包签名然后发布等等.

WFP简介:
  • Callout驱动的目的,可以进行深度检查,可以决定哪些数据阻止,哪些允许,哪些可以传递到下一个过滤器,或者病毒厂商,可以匹配病毒特征。
  • 可以进行包的修改和重新注入到网络的包头。NAT地址转换,就是修改头进行转换。(DDProxy就可以直接修改UDP头)
  • 可以进行流量内容修改,可以删除或者替换特定的单词。
  • 流量日志,用于网络监控产品。
WFP中的Callout:
diagram illustrating the basic architecture of the windows filtering platform

Callout驱动提供额外的过滤函数,通过注册一个或者多个callout在一个filterEngine中实现。


参考:
https://docs.microsoft.com/zh-cn/windows-hardware/drivers/network/windows-filtering-platform-callout-drivers2
https://msdn.microsoft.com/en-us/library/windows/desktop/aa363977(v=vs.85).aspx
灵魂漫步者
关注
专栏目录
一款国外的WFP样式,带例子,界面优美
08-07
一款国外的WFP样式,带例子,界面优美,非常有用,重要的事情说三遍
WFP驱动--进程规则拦截
03-20
实现了对进程信息的获取,监控,并进行拦截操作,使用WFP,交流请私信,不定期看csdn
Windows过滤平台(WFP)
最新发布
zhangyihu321的专栏
08-16 1145
wfp windows 驱动
WFPWFP简介
dayuliang0464的博客
03-02 751
·过滤引擎是WFP的核心组成部分,过滤引擎分为两大层:用户态基础过滤引擎和内核态过滤引擎。基础过滤引擎会与内核过滤引擎交互。·内核态过滤引擎是整个过滤引擎的主体,内部分为多个分层,每分层都代表着网络协议栈特定的层。每个分层存在子层和过滤器。内核过滤引擎检查网络数据包是否 命中过滤器的规则,命中的过滤器,执行这些过滤器指定的动作。·一般,过滤的动作为放行或拦截网络数据包。实际中,内核过滤...
wfp框架解析
要把所有那些负面的信息当做对自身行为的评价,而不是对自身价值的评判。
08-31 730
与此函数相对的是FwpmEngineClose,关闭引擎。此函数参数为FWPM_CALLOUT0,而FwpsCalloutRegister0的参数为FWPS_CALLOUT0。我一直对wfp框架含混不清,搞驱动开发有一段时间了,拿着老板的钱,到对自己手头工作的一些基础概念都弄不明白,实在是说不过去,寝食难安,特此加深一下记忆和理解。FwpsCalloutRegister0:注册回调函数。此函数参数比较复杂,主要是用来注册实现网络过滤功能操作的回调函数。这6个API参数比较复杂,详细的参数可自行MSDN。
WFP 学习(一)——构架把握
热门推荐
jmhIcoding
02-18 1万+
Windows Filtering Platform Windows Filtering Platform(WFP) 是windows推出的用于TCP/IP协议栈五层各层里面对数据包进行交互操作的基础框架,该框架提供了一系列的API用于实现交互目的。这个框架的作用是为了取代之前的TDI/NDIS/LSP技术。 这个东西能够干啥呢? 使用WFP API,开发者可以实现个人防火墙、入侵检测系统、防病毒...
WFP知识总结
qq_33400948的博客
06-04 442
开发者在内核态使用WFP实现网络数据包过滤步骤: 定义一个或多个呼出接口,向过滤引擎注册呼出接口 添加呼出接口到过滤引擎 设计一个或多个子层,将子层添加到分层中 设计过滤器,把呼出接口、分层、子层和过滤器关联起来,向过滤引擎添加过滤器 注册呼出接口 FwpsCalloutRegister0/FwpsCalloutRegister1/FwpsCalloutRegister2 卸载呼出接口 FwpsCalloutUnregisterById/FwpsCalloutUnregisterByKey 打开过滤引擎
wfp_wfp_
09-29
【标题】:“wfp_wfp_” 指的可能是 Windows Filtering Platform (WFP) 的相关文档,这...通过这个中文PPT,学习者可以深入了解WFP的工作原理,并获得实践经验,以便在实际工作中更有效地利用这一强大的网络过滤平台。
wfp.rar_wfp
09-20
总的来说,这个“wfp”实验旨在让学习者深入理解编译原理中的自动机理论,并通过实际编程练习提升问题解决和代码实现能力。通过分析和调试“wfp.c”,以及理解“www.pudn.com.txt”的内容,学生将能更好地掌握自动机...
WinPcap-NDIS-WFP-Drivers-master_NDISWFP_ndis_wfp_wfp驱动_WFPNDIS_源
10-03
此资料包“WinPcap-NDIS-WFP-Drivers-master_NDISWFP_ndis_wfp_wfp驱动_WFPNDIS_源”提供了这些技术的源代码,为开发者深入理解其工作原理和应用提供了宝贵的资源。 首先,让我们详细了解这三个核心概念: 1. **...
WFP-java-code.rar_java_java WFQ_wfq
09-23
1. **WFQ算法原理**:文档可能会介绍WFQ的基本概念,如它是如何通过分配不同的权重来保证不同流量的公平性和服务质量的。 2. **Java实现WFQ**:代码文件中应该包含了Java类或接口,它们实现了WFQ算法的核心逻辑,...
Wfp进程及包头过滤内核模块
03-05
Wfp进程及包头过滤内核模块
【驱动开发】Windows过滤平台(WFP,Windows Filtering Platform)
qq_42814021的博客
04-13 3348
TDI:Transport Driver Interface,传输层接口。TDI在Windows Vista之后就不再支持了,之后的版本中被WFP取代。socket可以指定某种方式开始传输用户的数据(比如TCP或UDP),这就是传输层。传输层的特点是:用户只需要关心实际需要传输的用户数据,而不用担心数据实际的发送次数、如何封装、如何确定发送正确性、出错何重发等。Windows过滤平台(Windows Filter Platform),是从Vista系统后新增的一套系统API和服务,为网络数据包过滤。
WFP网络过滤驱动-限制网站访问
大草的博客
02-23 1963
WFP网络过滤驱动-限制网站访问
wfp网络过滤框架总结(一)
zhangge3663的博客
09-18 3970
一、基本术语定义 callout为扩展wfp性能提供的一个功能,由一系列call function和一个guid key组成,wfp内置了几个callouts。用户可以通过callout drivers自己添加callout。 callout driver实现一个或者多个callouts的内核驱动,这个驱动通过向filter engine注册callouts,来通知filter engine当...
Windows7以上使用WFP驱动框架实现IP数据包截取(二)
fanxiushu的专栏
10-25 1万+
by fanxiushu 2017-10-23 转载或引用请注明原是作者。 接上文。 上文所说只要挂载其中的6个WFP过滤点,就可以截获IP层的所有数据包。 再把截获的数据包转发到应用层,应用层处理之后,再发给内核驱动,经过这样的过程,就完成一个数据包的处理过程。 IP数据包到达应用层之后,我们就可以随心所欲的实现某些功能。比如做流量分析,可以细化到端口和具体IP等, 可以做NAT转发,
[x64驱动] - WFP网络监控驱动
LYSM
08-20 2711
背景 WFP 是微软推出来替代 TDI HOOK、NDIS HOOK 等拦截网络通信的方案,WFP 的框架非常庞大,在 RING3 和 RING0 各有一套类似的函数,令人兴奋的是,即使在 R3 使用 WFP,也可以做到全局拦截访问网络。本文介绍利用 WFP 拦截指定进程访问网络,或拦截对指定 IP 地址/端口的访问。 原理 一个标准的 WFP 程序大体是这样子的 使用 FwpmEngineOpen 开启 WFP 引擎 用 FwpmTransactionBegin 设置对网络通信内容的过滤权限 用
Windwos 驱动WFP
06-11
WFP (Windows Filtering Platform) 是 Windows 操作系统中的一种网络包过滤框架,它提供了一种通用的方式来处理网络流量。Windows 驱动程序可以使用 WFP API 来实现网络包过滤和处理功能。WFP 驱动程序可以通过注册...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值