防火墙的数据包拦截方式

最新推荐文章于 2024-04-23 16:24:16 发布
最新推荐文章于 2024-04-23 16:24:16 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: 网络防火墙 文章标签: 网络
原文链接:https://blog.csdn.net/weixin_30498921/article/details/98571133?spm=1001.2101.3001.6650.4&utm_medium=distribute.wap_relevant.none-task-blog-2~default~CTRLIST~default-4.wap_blog_relevant_default&depth_1-utm_source=distribute.wap_relevant.none-task-blog-2~de
版权

  最近看了许多关于防火墙的包拦截方式,有比较全的,但依然不是很清楚,现将各个网络上的资源整理下。

  网络防火墙都是基于数据包的拦截技术之上的。在 Windows 下,数据包的拦截方式有很多种,其原理和实现方式也千差万别。总的来说,可分为“用户级”和“内核级”数据包拦截两大类。

用户级下的数据包拦截方式有:

  • Winsock Layered Service Provider (LSP)
  • Win2K 包过滤接口 (Win2K Packet Filtering Interface)
  • 替换 Winsock 动态链接库 (Winsock Replacement DLL)
  • 挂钩WinsockAPI

内核级下的数据包拦截方式有:

  •  TDI过滤驱动程序 (TDI-Filter Driver)
  •  NDIS中间层驱动程序 (NDIS Intermediate Driver)
  • Win2K Filter-Hook Driver
  • Win2K Firewall-Hook Driver
  • NDIS-Hook Driver

下面再说说各种截包方式的特点:

1)Winsock Layered Service Provider (LSP)

  该方式也称为 SPI (Service Provider Interface) 截包技术。SPI是由 Winsock2 提供的一个  接口,它需要用户机上安装有 Winsock 2.0。Winsock2 SPI 工作在 API 之下的 Driver 之上,可以截获所有基于 Socket 的网络数据包。

优点:以DLL形式存在,编程方便,调试简单。数据封包比较完整,未做切片,便于做内容过滤。

缺点:拦截不够严密,对于不用 Socket 的网络通讯则无法拦截 (如 ICMP),木马病毒很容易绕过。

  这种技术的典型代表有费尔个人防火墙(xfilter)的早期版本,天网个人防火墙的早期版本等。

2)Win2000 Packet Filtering Interface

  这是 Win2000 中一组 API 提供的功能 (PfCreateInterface, PfAddFiltersToInterface, ...),主要是运用头文件IPHlpApi.h中的接口函数。

优点:接口简单,不用改动客户机和主机上的应用程序,与应用层无关,实现起来不是非常难。

缺点:功能过于简单,只能提供IP和端口的过滤,可能无法满足防火墙的复杂需求。处于 API 层,木马病毒容易绕过。只能在 Win2K 以上(含)系统中使用。

3)Winsock Replacement DLL

  这种方法通过替换系统 Winsock 库的部分导出函数,实现数据报的监听和拦截。Windows提供了许多用于网络连接的API函数,这些函数通过一些DLL(动态链接库)文件导出,在WindowsXP系统中它是“ws2_32.dll”。
  由于DLL文件是通过文件名来查找目标文件的,因此我们可以编写一个DLL文件,然后将系统中的“ws2_32.dll”文件改为其它名字如“bak_ws2_32.dll”,再将自己编写的文件命名为“ws2_32.dll”,当然我们必须自己导出“ws2_32.dll”中的所有导出函数。这样当应用程序调用WinsockAPI时,它实际调用的是我们自己编写的DLL文件,这就给了我们一个进行过滤的机会。我们可以返回失败,也可以直接调用“bak_ws2_32.dll”中的同名函数来转发。
  这种方法的缺点之一是工作量太大,因为“ws2_32.dll”提供的导出函数多达上百个;另一个缺点就是要考虑系统版本的问题,移植性太差。因为每次当系统版本改变后,Windows都可能会对一些系统文件进行修改,这就迫使我们必须自己考虑到所有的系统版本。二是由于工作在 Winsock 层,所以木马病毒容易绕过。

4)挂钩WinsockAPI

  挂钩WinsockAPI没有了替换系统文件的麻烦,因为我们可以仅考虑自己关注的API函数,对其它函数不作处理。
  但是采用何种方法挂钩却是一个问题。
  如果在用户模式下进行挂钩,那么为了实现全局有效,我们必须把HOOK用的DLL文件注入到所有进程中,这可能导致某些进程崩溃。
  如果在内核模式下进行挂钩,由于WinsockAPI没有经过SSDT的转发,我们无法使用较为稳定的SSDTHOOK,而只能使用inlinehook。inlinehook相对SSDTHOOK来说不够稳定,而且我们不得不考虑各个函数的不同实现,通常还需要反汇编引擎的辅助才能实现挂钩。

5)TDI-Filter Driver

  TDI 的全称是 Transport Driver Interface。传输层过滤驱动程序通过创建一个或多个设备对象直接挂接到一个现有的驱动程序之上。当有应用程序或其它驱动程序调用这个设备对象时,会首先映射到过滤驱动程序上,然后由过滤驱动程序再传递给原来的设备对象。

  当应用程序需要进行发送或接收网络数据包的时候,都是通过协议驱动所提供的接口来进行的。协议驱动提供了一套系统预定义的标准接口来和应用程序之间进行交互。在Windows2000/NT下,IP、TCP、UDP是在一个驱动程序里实现的,叫做“TCPIP.sys”,这个驱动程序创建了几个特殊设备:\Device\RawIp、\Device\Udp、\Device\Tcp、\Device\Ip、\Device\MultiCast,应用程序所有的网络数据操作都是通过这几个设备进行的。因此,我们只需要开发一个过滤驱动来截获这些交互的接口,就可以实现网络数据包的拦截。TDI层的网络数据拦截还可以得到操作网络数据包的进程详细信息,这也是个人防火墙的一个重要功能。

  优点:能获取到当前进程的详细信息,这对开发防火墙尤其有用。

  缺点:驱动位于 tcpip.sys 之上,所以没有机会得到那些由 tcpip.sys 直接处理的包,比如ICMP。TDI驱动需要重启系统方能生效。

6)NDIS Intermediate Driver

  NDIS的全称是NetworkDriverInterfaceSpecification,即网络驱动接口规范,也称之为 IM Driver。它是微软为网络接口卡(NIC)的局域网驱动程序提供的一种标准应用程序接口(API)。NDIS适用于服务器或工作站。NDIS标准支持计算机通过不同的通信协议与网络相连,如:TCP/IP、IPX、NetBIOS、AppleTalk等。
  NDIS支持以下网络驱动类型:小端口驱动(MiniportDriver)、中间层驱动(IntermediateDriver)、协议驱动(ProtocolDriver)。
  中间层驱动介于协议层驱动和小端口驱动之间,它能够截获所有的网络数据包(如果是以太网那就是以太帧)。NDIS中间层驱动的应用很广泛,不仅仅是个人防火墙,还可以用来实现VPN,NAT,PPPOverEthernet以及VLan。它主要是在网络层和链路层之间对所有的数据包进行检查,因而具有强大的过滤功能。它能截获所有的数据包。可参考DDK中附带的例子Passthru,中间层驱动的概念是在WindowNTSP4之后才有的,因此对于Windows9x来说无法直接利用中间层驱动的功能。

       优点:功能非常强大,应用面广泛,不仅仅是防火墙,还可以用来实现VPN,NAT 和 VLan 等。

       缺点:编程复杂,难度较大。中间层驱动的概念是在 WinNT SP4 之后才有的,因此 Win9X 无法使用。不容易安装,自动化安装太困难。

中间层驱动功能强大,目前很多商业级别的个人防火墙都是使用的这种技术,例如卡巴斯基反黑客(KasperskyAnti-Hacker)防火墙。  

7)Win2000 Filter-Hook Driver

  这是从 Win2000开始提供的一种机制,该机制主要利用 ipfiltdrv.sys 所提供的功能来拦截网络数据包。Filter-Hook Driver 的结构非常简单,易于实现。但是正因为其结构过于简单,并且依赖于 ipfiltdrv.sys,微软并不推荐使用。

可参考 CodeProject 上的例子:http://www.codeproject.com/KB/IP/drvfltip.aspx

       优点:结构简单,易于实现;能截获所有的IP包(包括ICMP包)。

       缺点:工作于内核进程中,无法取得当前应用程序进程的信息;虽能截获所有IP包,但无法取得数据包的以太帧(Ethernet Frame);只能在 Win2000 以上(含)系统中使用。

8)Win2000 Firewall-Hook Driver

  这是一种和 Win2000 Filter-Hook Driver 差不多的机制,所不同的是,Firewall-Hook Driver  能在 IP Driver 上挂接多个回调函数,所以和前者相比,它引起冲突的可能性更小一些。

可参考 CodeProject 上的例子:http://www.codeproject.com/KB/IP/FwHookDrv.aspx这种方式的优缺点和 Win2000 Filter-Hook Driver 基本相同。

9)NDIS-Hook Driver

  NDIS-HOOK Driver也是应用比较常见的一种方法。它的实现原理是安装钩子到ndis.sys中,替换其中的某些关键函数,从而达到截包的目的。
  它相比NDIS中间层驱动来说优点更多,例如它安装简单,可即时安装和卸载驱动,无需重启系统;同样能截获所有的IP包,而且能同时取得数据包的以太帧(EthernetFrame);能在Win98及其以上的系统中使用等。  

  优点:安装简单,可即时安装和卸载驱动,无需重启系统。能截获所有的IP包,同时能取得数据包的以太帧(Ethernet Frame)。安全性高,木马病毒不容易穿透。在大多数情况下,能获取到当前应用程序的进程信息。能在 Win98 以上(含)系统中使用。

     缺点:接收数据包、或偶尔发送数据包时,驱动工作在内核进程中,无法获得应用程序进程信息。

使用这种技术的防火墙代表有Comodo防火墙(ComodoFirewallPro)等,但它的开发需要对驱动编程非常熟悉,难度较大。

 

转载于:https://www.cnblogs.com/weiw/archive/2013/04/10/3013297.html

α /∞
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
MFC实现拦截网络数据包(附完整源码)
希望我的博客,能帮上你解决学习中工作中所遇到的问题
11-19 103
MFC实现拦截网络数据包(附完整源码)
chatgpt赋能python:Python拦截修改数据包:助力SEO优化的必备工具
laingziwei的博客
06-20 353
Python拦截修改数据包是一项工程技术,通过该项技术可以截取由应用层传输到网络层的数据包,修改其中的内容,并再次发送给目标服务器。在这个过程中,Python将扮演着一个重要的角色,作为API用于与网络通信的库。本文由chatgpt生成,文章没有在chatgpt生成的基础上进行任何的修改。以上只是chatgpt能力的冰山一角。作为通用的Aigc大模型,只是展现它原本的实力。对于颠覆工作方式的ChatGPT,应该选择拥抱而不是抗拒,未来属于“会用”AI的人。🧡AI职场汇报智能办公文案写作效率提升教程 🧡。
Fiddler对数据包拦截(打断点、设置断点)、改包、伪造(构造)、自动响应
LilGaage的博客
10-13 7742
一、应用 定位bug:界定bug是由前端产生的,还是后端产生的。可以是两种策略: 1,抓包--抓取请求或者响应的数据包 2,改包--修改请求或者响应的数据包 使用Fiddler抓包,查看前端发送的请求和后端返回的响应。如果请求有问题,那就是前端的bug;如果响应有问题,那就是后端的bug。 二、改包 方式拦截、修改、放行 对象:请求、响应 流程: 对请求进行拦截(打断点、设置断点)-修改请求消息-放行请求...
6-Burp Suite拦截手机App数据
m0_62978778的博客
12-31 2264
或者,使用了服务器的证书加密,burp 抓到的是加密以后的消息,是无法查看和修改的。选择保存的 CA 路径(比如 D 盘),文件后缀命名为.cer,非常重要,因为手机只能安装.cer 的证书类型,默认的 der 格式是不能被识别安装的。首先电脑需要连接到 WiFi,不能使用有线网络,这样才能让手机和电脑处于同一网络环境(如果台式机的有线和手机 WiFi是同一个网络环境也可以)。此外,也可以在电脑上安装 Android 模拟器,这样可以直接在电脑上抓模拟器的包,大家可以自己尝试。在手机上“用其他应用打开”。
防火墙策略是否有效拦截恶意代码?
最新发布
ZOMO的博客
04-23 266
什么是防火墙?* 防火墙的功能与分类* 防火墙的部署模式防火墙是一种位于内部网络与外部网络之间的网络安全系统, 用于保护计算机系统和网络中的数据免受未经授权的访问、破坏或泄露。它能够控制传入和传出的流量并执行一系列预设的安全规则来阻止潜在的网络入侵者窃取敏感信息或者造成其他损害。
Python爬虫(一)——使用mitmproxy拦截数据包
qq_33044969的博客
07-13 9368
Python爬虫实践(一)——使用mitmproxy拦截数据包 一、反爬机制 在app的爬虫当中,会遇到如下情况,处理起来十分棘手: 1. 我们想直接调用某接口的方式获得数据 2. api中存在某个headers中的一个或多个字段被加密,或者请求体中参数被加密 3. 加密参数不能通过简单的方式破解,也就不能调用接口获取数据包 4. 该接口限制了请求速度(指在某个时间段调用一定次数后,出现账号封禁,...
防火墙数据包拦截方式小结.pdf
11-07
防火墙数据包拦截方式小结.pdf
彩影ARP防火墙拦截虚假ARP数据包
04-05
ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障数据流向正确,不经过第三者。从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制。包括 拦截ARP攻击、拦截...
SPI网络数据包拦截程序源码
05-05
SPI网络数据包拦截程序源码,用户态防火墙雏形,来自Windows防火墙网络封包截获技术中的PacketCapture
ARP防火墙 v4.1.1
03-13
ARP防火墙通过在系统内核层拦截虚假ARP数据包以及主动通告网关本机正确的MAC地址,可以保障数据流向正确,不经过第三者,从而保证通讯数据安全、保证网络畅通、保证通讯数据不受第三者控制,从而完美的解决上述所有...
iOS应用内抓包、NSURLProtocol 拦截 APP 内的网络请求
AFun_day的博客
11-08 873
iOS应用内抓包、NSURLProtocol 拦截 APP 内的网络请求
拦截网络socket的数据
08-18
拦截网络socket的数据的工具,我试过,很好用,通过HOOK捕获和修改send函数
拦截网络应用程序数据包封包助手
07-02
拦截网络应用程序数据包封包助手.数据包 拦截 拦截数据包
数据包截获修改工具MonPack
08-20
数据包截取修改很好用的工具MonPack自带发送功能
安全测试拦截数据包工具BurpLoader
01-07
安全测试工具,拦截数据包,测试安全问题,需要设置浏览器的代理即可。
网络安全】Wireshark过滤数据包&分析TCP三次握手
九芒星的博客
01-30 6752
wireshark是一个网络封包分析软件,它可以撷取网络封包,并尽可能显示出最为详细的网络封包信息,本次我们以抓取WLAN数据包为例,演示网络数据包传输的过程。
数据分析10种最佳数据屏蔽工具和软件
yuuEva的博客
12-07 2348
  大数据分析10种最佳数据屏蔽工具和软件,市场上可用的最佳开源免费数据屏蔽工具列表和比较:   数据屏蔽是用于隐藏数据的过程。   在数据屏蔽中,实际数据由随机字符屏蔽。它可以防止未经授权查看机密信息的人。   数据屏蔽的主要目的是在某些情况下,未经某人允许,某些人可能会注意到这些数据,从而屏蔽复杂的私人数据。   为什么要屏蔽数据?   数据屏蔽可屏蔽组织的PII数据或其他机密信息。   它可以保护文件从一个位置到另一位置的传输过程。它还有助于保护应用程序开发,测试或CRM应用程序的安全。它
拦截其它程序的网络数据封包
代码人生
11-10 1772
有时候我们需要对其它应用程序发送和接收的网络数据进行拦截,比如要对IE发送的HTTP头进行分析,得到请求的地址等.这次我们可以用一些例如WPE, Sniffer之类的工具来达到目的.但是工具功能有限,要想实现更强大的功能,还是我们自己动手来DIY吧.拦截网络数据封包的方法有三种,一是将网卡设为混杂模式,这次就可以监视到局域网上所有的数据包,二是HOOK目标进程的发送和接收的API函数,第三种方
wireshark拦截手机数据包
qq_62637199的博客
10-09 2560
wireshark拦截手机数据包
数据包防火墙和状态防火墙的特征
06-13
- 状态防火墙具有更高的安全性和灵活性,能够识别和拦截各种网络攻击,如 DoS 攻击、IP 欺骗、端口扫描等。 - 状态防火墙能够动态地维护连接表和状态表,但是由于需要处理更多的信息,所以性能相对较低。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值