网络
关注
分享
扫一扫
kernweak
日子越来越有判头了
展开
-
Mac头,ip头,tcp头简介
MAC帧头定义MAC头有14个字节,尾4个字节typedef struct _MAC_FRAME_HEADER{char m_cDstMacAddress[6];//目的mac地址char m_cSrcMacAddress[6];//源mac地址short m_cType; //上一层协议类型,如0x0800代表上一层是IP协议,0x0...原创 2019-12-19 22:56:17 · 1344 阅读 · 0 评论 -
网络知识回顾
首先回忆下R3的socket编程。windows防火墙有TDI,NDIS,后来进化成WFP,从难到易。简述什么是防火墙就是通过hook ,过滤,回调监控,对网络数据进行管理比如TDI就是一套hook(ARPhook),一套过滤。NDIS,WFP都通过回调过滤。网络防火墙可以实现传输数据加解密。流量查看。//tcp//服务器端int fd,fd_client;st...原创 2019-07-04 03:04:08 · 313 阅读 · 0 评论 -
TDI笔记
XP中应用层数据到达内核,经过TDI驱动,TDI Client驱动程序-》TDI传输驱动程序,在TDI驱动中数据此时还在IRP包里,TDI中网络数据还封装在IRP包中,还是可以查看属于哪个进程的。所以进程查看等就在这设置。再往下发给NDIS驱动,这时候就是纯NDIS网络数据包了,脱离了进程。如果进行限流的话就是TDI加NDIS结合使用。因为NDIS脱离了进程。NDIS分为三层,网络协议驱动...原创 2019-07-04 18:40:46 · 1089 阅读 · 0 评论 -
NDIS驱动
NDIS驱动分为3层协议层驱动绑定再所有网卡上,所以能截获接收到的包,但无法截获发送的包中间层驱动(P部分)绑定在了所有小端口驱动上(M部分)也被所有的协议驱动绑定,收发都能拦截。所有中间层小端口部分负责处理发送的包,协议部分负责处理接受的包小端口驱动网卡驱动NDIS驱动开始NdisMInitializeWrapper初始化NDIS句柄,NdisIMRegist...原创 2019-07-05 04:26:10 · 5422 阅读 · 1 评论 -
WFP笔记
特点WFP系统已经有数据过滤引擎的防火墙,没有规则,编写用户层的程序给WFP引擎设置规则,编写核心态的callout驱动处理WFP抓到的网络数据包做深度处理。比如加解密压缩解压缩之类在需要写驱动。WFP分为Layers:把规则分为若干组,GUID表示,子层https://docs.microsoft.com/zh-cn/windows/win32/fwp/basic-operati...原创 2019-07-05 17:32:15 · 2855 阅读 · 0 评论