WFP 学习(一)——构架把握

最新推荐文章于 2024-05-22 15:37:01 发布
最新推荐文章于 2024-05-22 15:37:01 发布
阅读量1.3w 收藏 25
点赞数 1
分类专栏: 杂篇 Advanced OS 文章标签: windows filter platform wfp 个人防火墙
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jmh1996/article/details/87610532
版权

Windows Filtering Platform

Windows Filtering Platform(WFP) 是windows推出的用于TCP/IP协议栈五层各层里面对数据包进行交互操作的基础框架,该框架提供了一系列的API用于实现交互目的。这个框架的作用是为了取代之前的TDI/NDIS/LSP技术。

这个东西能够干啥呢?

使用WFP API,开发者可以实现个人防火墙、入侵检测系统、防病毒程序、流量监控工具。WFP集成了基于进程的防火墙控制功能,但是它自身并非是个防火墙,它只是个数据包过滤的开发框架。

系统要求

Windows Vista,Windows 7,Windows 10
Windows Server 2008以及之后的版本

WFP的架构

下图展示了WFP的架构图:

在这里插入图片描述

WFP是通过集成四个基础实体:Layers,Filters,shims以及Callouts来发挥它的作用的。接下来,将对这四个实体做一些基础的介绍。

Layers

每一个layer都是被filter engine管理的用于将过滤器分门别类。其实就是可以理解为每个layer对应了数据包在协议栈不同的封包/解包时机。这里的layer并不是网络协议栈的模块成分,实际上它把整个网络栈分成很多特别细的阶段。不同阶段对应这不同的layers。
不同的layer对应不同的过滤条件和过滤规则。
例如:FWPM_LAYER_INBOUND_IPPACKET_V4 层,对应的过滤条件就有:

FWPM\_CONDITION\_FLAGS
FWPM\_CONDITION\_INTERFACE\_INDEX
FWPM\_CONDITION\_INTERFACE\_TYPE
FWPM\_CONDITION\_IP\_LOCAL\_ADDRESS
FWPM\_CONDITION\_IP\_LOCAL\_ADDRESS\_TYPE
FWPM\_CONDITION\_IP\_LOCAL\_INTERFACE
FWPM\_CONDITION\_IP\_REMOTE\_ADDRESS
FWPM\_CONDITION\_SUB\_INTERFACE\_INDEX
FWPM\_CONDITION\_TUNNEL\_TYPE

Filters

Filter 字面意思就是过滤器,实际上就是一条用于匹配特定 出/入 流量的规则。规则将告诉 过滤引擎 ,匹配到的特定数据包后的动作。例如匹配到特定的包后就调用一个callout模块来执行深度包检测。
具体的来说就类似于:“Block traffic with a TCP port greater than 1024” or “Call out to IDS for all traffic that is not secured.”

Filters分两类:boot-time filter 和run-time filter. 具体区别查阅:https://docs.microsoft.com/en-us/windows/desktop/fwp/basic-operation

Shims

Shim的含义是中间层、夹片、切片的意思。
当数据包、数据流或者事件流经网络协议栈的时候,shims 把它们转换为具体的可用于分类的条件或数值(例如提取其中的IP地址,端口号),然后调用过滤引擎根据包的信息来在特定的层执行特定的过滤规则。shim然后
收集过滤的结果,最后对流做出最终的动作,例如drop。

Callouts

callouts就是回调函数的意思。callouts就是用于执行特定过滤规则或动作的函数。这些函数是由程序员自定义的,当然也有一些是预定义好的。一般这些callouts可以执行对包的分析、修改功能。

callouts可以在任何WFP内核层进行注册。callouts函数可以返回一个动作值(“Block”、“Permit”、“Need more data”等等),也可以对网络流量进行修改。

一旦一个callout注册好了,它就可以接收到发给进程的数据包。Callouts可以让过滤引擎给shim返回Block,permit动作,也可以返回Continue让其他过滤引擎去处理相应的数据包。

Classification

Classification is the process of applying filters to network traffic (packet, stream, or event) in order to determine a result of “Permit” or “Block” for that traffic. For one packet, stream, or event there is one classification call per layer.

During classification, the properties (for example, source address) of the packet, stream, or event are compared with filter conditions set on filters at the layer where the classification is invoked. When matches are found, the Filter Arbitration algorithm is used to determines the result of the classification process.

A classification request is triggered by a shim.

classification的动作包括:
在这里插入图片描述

WFP的操作流程

对于流入的数据包:

  1. 一个数据包流入网络协议栈
  2. 网络协议栈寻找并调用shim
  3. 在特定的layer上,shim调用classification处理模块
  4. 在classfication过程中,进行过滤规则的匹配,并确定相应的动作。
  5. 如果某个callout过滤规则被匹配,则调用相应的callout函数
  6. shim执行最后的包动作。

学习目标

本次学习的最终目标是基于WFP,开发一款基于进程的主动包测量的Demo。具体来说,就是可以修改特定进程的数据包的某个特定的位。

Icoding_F2014
关注
  • 1
    点赞
  • 25
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WFP经典教程_WPF入门级教程
08-03
适合初学者的教程,都是word文档形式,便于学习
WFP单实例应用程序示例
12-24
单实例应用程序示例 单实例应用程序示例 单实例应用程序示例
WFP网络过滤驱动-限制网站访问
大草的博客
02-23 1687
WFP网络过滤驱动-限制网站访问
WPF快速学习入门(1.学习规划与路线)
最新发布
没有黑科技
05-22 502
WPF(Windows Presentation Foundation)是微软开发的一种用于构建桌面应用程序的框架,它结合了图形渲染、动画和UI组件等特性,为开发者提供了丰富的工具和资源。掌握WPF不仅可以提升你的专业技能,还能让你在现代桌面应用程序开发领域中占有一席之地。以下是一份详细的学习规划与路线指南,帮助你系统地学习WPF。
Windows7以上使用WFP驱动框架实现IP数据包截取(二)
热门推荐
fanxiushu的专栏
10-25 1万+
by fanxiushu 2017-10-23 转载或引用请注明原是作者。 接上文。 上文所说只要挂载其中的6个WFP过滤点,就可以截获IP层的所有数据包。 再把截获的数据包转发到应用层,应用层处理之后,再发给内核驱动,经过这样的过程,就完成一个数据包的处理过程。 IP数据包到达应用层之后,我们就可以随心所欲的实现某些功能。比如做流量分析,可以细化到端口和具体IP等, 可以做NAT转发,
《深入浅出WPF》学习笔记
贵有恒,何必三更眠五更起;最无益,莫过一日曝十日寒
05-03 4040
WPF是什么? WPF是Windows Presentation Foundation的简称,是用来专门编写程序表示层的技术 1.XAML概览 1.1XAML是什么 XAML(Extensible Application Markup Language):可扩展应用程序标记语言,类似于HTML+CSS+JavaScript的组合 XAML是WPF技术中专门用来设计UI的语言 XAML是...
驱动开发:内核封装WFP防火墙入门
CSDN
06-08 9479
注册了一个过滤点,此处我们必须要注意三个回调函数,classifyFn, notifyFn, flowDeleteFn 他们分别的功能时,事前回调,事后回调,事后回调,而WFP框架中我们最需要注意的也就是对这三个函数进行重定义,也就是需要重写函数来实现我们特定的功能。事前更重要一些,如果需要监控网络流量则需要在事前函数中做处理,而如果是监视则可以在事后做处理,既然要在事前进行处理,那么我们就来看看事前是如何处理的流量。当有新的网络数据包路由到事前函数时,程序中会通过如下案例直接得到我们所需要的数据包头,
WFP 原理
jimk1983的专栏
10-19 6830
(WIN7 32位开发驱动: X86的纯净版的KEY: HTXFV-FH8YX-VCY69-JJGBK-7R6XP) 数据流处理: (入站和出站都是一样) 1. 一个包进入到了协议栈 2. 协议栈找到并发现一个shim(垫片),应该就是很多的sublayer注册的地方。 3. 该shim(垫片)调用该特定的sublayer层注册的Classfication分类进行处理。
WFP
Sunny_wwc的专栏
08-22 5422
1 out of 1 rated this helpful - Rate this topic Updated: May 15, 2008 On This Page   Introduction   Why You Should Convert Your Components to WFP   WFP Architect
wfp_wfp_
09-29
【标题】:“wfp_wfp_” 指的可能是 Windows Filtering Platform (WFP) 的相关文档,这...通过这个中文PPT,学习者可以深入了解WFP的工作原理,并获得实践经验,以便在实际工作中更有效地利用这一强大的网络过滤平台。
wfp.rar_wfp
09-20
总的来说,这个“wfp”实验旨在让学习者深入理解编译原理中的自动机理论,并通过实际编程练习提升问题解决和代码实现能力。通过分析和调试“wfp.c”,以及理解“www.pudn.com.txt”的内容,学生将能更好地掌握自动机...
实验二C#_wfp_
10-01
【标签】"wfp"强调了该项目的核心技术栈——Windows Presentation Foundation。WPF提供了一种声明式编程模型,用于构建UI,支持数据绑定、控件模板、图形渲染、多媒体集成等功能。它使用XAML(Extensible ...
WFP驱动--进程规则拦截
03-20
**Windows Filtering Platform (WFP) 驱动——进程规则拦截技术详解** Windows Filtering PlatformWFP)是微软从Windows Vista开始引入的一种强大的系统级过滤框架,它允许开发者创建内核驱动程序来拦截和控制...
wfp学习,好的学习资料
07-30
简单的学习wpf例子,使您能更好的获取到相应的基础知识
【驱动开发】Windows过滤平台(WFPWindows Filtering Platform
qq_42814021的博客
04-13 2824
TDI:Transport Driver Interface,传输层接口。TDI在Windows Vista之后就不再支持了,之后的版本中被WFP取代。socket可以指定某种方式开始传输用户的数据(比如TCP或UDP),这就是传输层。传输层的特点是:用户只需要关心实际需要传输的用户数据,而不用担心数据实际的发送次数、如何封装、如何确定发送正确性、出错何重发等。Windows过滤平台(Windows Filter Platform),是从Vista系统后新增的一套系统API和服务,为网络数据包过滤。
WFPWFP简介
dayuliang0464的博客
03-02 731
·过滤引擎是WFP的核心组成部分,过滤引擎分为两大层:用户态基础过滤引擎和内核态过滤引擎。基础过滤引擎会与内核过滤引擎交互。·内核态过滤引擎是整个过滤引擎的主体,内部分为多个分层,每分层都代表着网络协议栈特定的层。每个分层存在子层和过滤器。内核过滤引擎检查网络数据包是否 命中过滤器的规则,命中的过滤器,执行这些过滤器指定的动作。·一般,过滤的动作为放行或拦截网络数据包。实际中,内核过滤...
WPF 架构理解
爱码农爱生活
04-11 184
ndows Presentation Framework is a next generation UI framework to create applications with a rich user experience. It is part of the .NET framework 3.0 and higher. WPF architecture is a layered archit...
帮我写一个WFP 的demo
03-09
好的,我可以为您提供一个 WFP 的 demo,您可以参考以下代码: #include <windows.h> #include <stdio.h> #include <stdlib.h> #include <wfp.h> #pragma comment(lib, "Fwpkclnt.lib") int main(int argc, char* argv[]) { FWPM_SESSION session = { }; FWPM_FILTER filter = { }; FWPM_FILTER_CONDITION filterConditions[1] = { }; FWPM_PROVIDER provider = { }; FWPM_SUBLAYER subLayer = { }; HANDLE engineHandle = NULL; UINT64 filterId = ; DWORD errorCode = ERROR_SUCCESS; // 初始化 WFP 引擎 errorCode = FwpmEngineOpen(NULL, RPC_C_AUTHN_WINNT, NULL, &session, &engineHandle); if (errorCode != ERROR_SUCCESS) { printf("Failed to open WFP engine. Error code: %d\n", errorCode); return -1; } // 创建 WFP 提供程序 provider.displayData.name = L"My WFP Provider"; provider.displayData.description = L"Demo WFP Provider"; provider.providerKey = (GUID) { x12345678, x1234, x1234, { x12, x34, x12, x34, x12, x34, x12, x34 } }; errorCode = FwpmProviderAdd(engineHandle, &provider, NULL); if (errorCode != ERROR_SUCCESS) { printf("Failed to add WFP provider. Error code: %d\n", errorCode); FwpmEngineClose(engineHandle); return -1; } // 创建 WFP 子层 subLayer.displayData.name = L"My WFP SubLayer"; subLayer.displayData.description = L"Demo WFP SubLayer"; subLayer.subLayerKey = (GUID) { x12345678, x1234, x1234, { x12, x34, x12, x34, x12, x34, x12, x34 } }; subLayer.weight = FWP_EMPTY; errorCode = FwpmSubLayerAdd(engineHandle, &subLayer, NULL); if (errorCode != ERROR_SUCCESS) { printf("Failed to add WFP sublayer. Error code: %d\n", errorCode); FwpmProviderDeleteByKey(engineHandle, &provider.providerKey); FwpmEngineClose(engineHandle); return -1; } // 创建 WFP 过滤器条件 filterConditions[].fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS; filterConditions[].matchType = FWP_MATCH_EQUAL; filterConditions[].conditionValue.type = FWP_BYTE_ARRAY16_TYPE; filterConditions[].conditionValue.byteArray16 = (FWP_BYTE_ARRAY16) { x01, x02, x03, x04, x05, x06, x07, x08, x09, xA, xB, xC, xD, xE, xF, x10 }; // 创建 WFP 过滤器 filter.providerKey = provider.providerKey; filter.subLayerKey = subLayer.subLayerKey; filter.displayData.name = L"My WFP Filter"; filter.displayData.description = L"Demo WFP Filter"; filter.action.type = FWP_ACTION_BLOCK; filter.weight.type = FWP_EMPTY; filter.filterCondition = filterConditions; filter.numFilterConditions = ARRAYSIZE(filterConditions); errorCode = FwpmFilterAdd(engineHandle, &filter, NULL, &filterId); if (errorCode != ERROR_SUCCESS) { printf("Failed to add WFP filter. Error code: %d\n", errorCode); FwpmSubLayerDeleteByKey(engineHandle, &subLayer.subLayerKey); FwpmProviderDeleteByKey(engineHandle, &provider.providerKey); FwpmEngineClose(engineHandle); return -1; } // 关闭 WFP 引擎 FwpmFilterDeleteById(engineHandle, filterId); FwpmSubLayerDeleteByKey(engineHandle, &subLayer.subLayerKey); FwpmProviderDeleteByKey(engineHandle, &provider.providerKey); FwpmEngineClose(engineHandle); return ; }
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值