浅析基于中间层驱动的包过滤原理与实现

   李大勇

随着计算机网络技术的迅猛发展，网络安全的问题已经日益突出地摆在各类用户的面前。仅从掌握的资料表明，目前在互联网上大约有将近20%以上的用户曾经遭受过黑客的困扰。虽然网络防火墙技术日趋成熟，但大多数 基于SPI的数据报拦截技术是在用户级的。用户级的拦截有其优势，实现方便、便于移植、通用性强，但是用户级并不能得到所有的数据报，本文将探讨基于IMD中间层驱动的防火墙包过滤原理与实现。

让我们先来了解一下IMD，在windows 2000中支持三种基本的内核级网络驱动，分别是：

1. Miniport NIC drivers：微端口网卡驱动，位于最底层，直接操纵网卡并且对高层驱动提供接口。

2. Intermediate drivers：IMD中间层驱动，位于1和3之间，具体的作用下面就会介绍。

3. Protocol drivers：高层协议驱动，俗称为TDI（传输驱动程序接口），高于前面两层，直接面向用户级，为用户提供网络服务，也就是绝大多数程序所用到的网络接口。

IMD中间层，它的实质很简单，中间层插入网卡和协议层之间，对上面的协议层表现为一个虚拟的微端口网卡结构，而对下面的网卡则表现为一个协议层的结构。所以，无论是网卡接收并上传的数据报，还是上层要下送至网卡发送的数据报，无一例外地要经过中间层。既然所有的数据报都要经过中间层，我们可以在中间层加入我们想要过滤的数据报的特征，从而实现基于中间层驱动的内核级包过滤。

这样做的优势非常明显，首先，在驱动级别上做过滤，无须组包，速度快，效率自然就高；其次，所有的数据报无一例外，只要网卡上传的数据报均可以截获，避免了用户级无法得到所有数据报的缺点。

那么怎样来实现基于IMD的包过滤防火墙呢？其实微软在提出这项技术之后，其DDK中附带了一个中间层驱动的例程，就是passthru。passthru实现了一个中间层的基本功能，对下表现为一个协议层的驱动，对上表现为一个虚拟网卡，安装passthru驱动之后，你可以在硬件管理中的网卡中看到一个虚拟网卡。不过，passthru只是插入到网卡和上层协议中间，让所有的数据报原原本本地流经自己而已。我们要想实现中间层包过滤的功能，需要对passthru进行修改。在中间层接收到数据报的时候进行规则判断就可以了，而passthru中，接收数据报是用protocol.c文件中的PtReceive和PtReceivePacket这两个函数来实现的。我们知道了哪个函数负责接收数据报，那么我们就可以对这个函数进行修改了。从兼容和通用性考虑，我们需要对PtReceive和PtReceivePacket函数进行修改，其中加上我们需要判断的规则进行过滤，下面就贴详细的代码了。

我们的目的是在调用接受数据报函数的时候能执行我们的过滤代码，所以，我们要在函数代码中添加我们自己的代码，下面用过滤特定协议类型的数据报来做演示。

首先修改PtReceive，看一下protocol.c文件中函数的代码，代码中用NdisGetReceivedPacket函数得到一个PNDIS_PACKET的结构Packet，数据报内容就存放在这个结构中的链表内。我们定义一个PUCHAR结构的pPacketContent，然后用下面的代码获得整个数据报的内容：

//----------------------------------------------------

int PacketSize;

PUCHAR pPacketContent;

PUCHAR pBuf;

UINT BufLength;

MDL * pNext;

UINT i;

// 把数据包内容从 Packet 拷贝到 pPacketContent

NdisQueryPacket( Packet,NULL,NULL,NULL,&PacketSize);

Status= NdisAllocateMemory( &pPacketContent, 2000, 0,HighestAcceptableMax);

if (Status!=NDIS_STATUS_SUCCESS ) return Status;

NdisZeroMemory (pPacketContent, 2000);

NdisQueryBufferSafe(Packet->Private.Head, &pBuf, &BufLength, 32 );

NdisMoveMemory(pPacketContent, pBuf, BufLength);

i = BufLength;

pNext = Packet->Private.Head;

for(;;)

{

if(pNext == Packet->Private.Tail)

break;

pNext = pNext->Next; // 指针后移

if(pNext == NULL)

break;

 

NdisQueryBufferSafe(pNext,&pBuf,&BufLength,32);

NdisMoveMemory(pPacketContent+i,pBuf,BufLength);

i+=BufLength;

}

 

// 数据拷贝完毕

//-----------------------------------------------------

 

现在 ， 我们已经在 PtReceive 函数中得到了数据报的内容 ， 存放在 pPacketContent 中 ， 数据报大致是如下结构 ， 以太帧头 14 个字节 ， 放在 pPacketContent[0] 到 pPacketContent[13] 中 ， 其中前六个字节是目的 MAC 地址 ， 然后六个字节源 MAC 地址 ， 然后两个字节是协议类型 ， 通常的协议类型有 0x08 0x00 ->IP，0x08 0x06 ->ARP，0x08 0x35 ->RARP， 所以 ， 可以通过 pPacketContent[12] 和 pPacketContent[13] 来判断协议类型。如果是IP包，然后pPacketContent中存放的是IP头，根据IP头的格式，可以得到第23个字节pPacketContent[23]表示传输层协议：1 ->ICMP，2 ->IGMP，6 ->TCP，17 ->UDP，剩下的就是数据报内容了。因为我们只是做演示，所以只要知道这几个标志性的就好了，其他的你可以根据你的需要扩展。我们通过pPacketContent中的内容可以做些规则，比如过滤ICMP包，我们只要比较pPacketContent[12]和pPacketContent[13]还有pPacketContent[23]这三个标志位就可以了，如果不是ICMP包，那么不做任何工作，如果匹配了，那就返回一个NDIS_STATUS_NOT_ACCEPTED，将包丢弃，释放pPacketContent，就可以过滤ICMP包了，下面就是过滤规则的代码。

 

//-----------------------------------------------------

//规则标志位（1表示过滤，0表示放行，你可以通过改这个数值来配置规则）

UINT ICMP = 1; //ICMP数据报规则

UINT IGMP = 0; //IGMP数据报规则

UINT TCP = 0; //TCP数据报规则

UINT UDP = 0; //UDP数据报规则

 

//规则判断

if (ICMP == 1)

{

if(((char *)pPacketContent)[12] == 8 &&

((char *)pPacketContent)[13] == 0 &&

((char *)pPacketContent)[23] == 1)

{

DbgPrint("ICMP 被拦截 !/n");

NdisFreeMemory(pPacketContent, 2000, 0);

return NDIS_STATUS_NOT_ACCEPTED;

}

}

 

if (IGMP == 1)

{

if(((char *)pPacketContent)[12] == 8 &&

((char *)pPacketContent)[13] == 0 &&

((char *)pPacketContent)[23] == 2)

{

DbgPrint("IGMP 被拦截 !/n");

NdisFreeMemory(pPacketContent, 2000, 0);

return NDIS_STATUS_NOT_ACCEPTED;

}

}

 

if (TCP == 1)

{

if(((char *)pPacketContent)[12] == 8 &&

((char *)pPacketContent)[13] == 0 &&

((char *)pPacketContent)[23] == 6)

{

DbgPrint("TCP 被拦截 !/n");

NdisFreeMemory(pPacketContent, 2000, 0);

return NDIS_STATUS_NOT_ACCEPTED;

}

}

 

if (UDP == 1)

{

if(((char *)pPacketContent)[12] == 8 &&

((char *)pPacketContent)[13] == 0 &&

((char *)pPacketContent)[23] == 17)

{

DbgPrint("UDP 被拦截 !/n");

NdisFreeMemory(pPacketContent, 2000, 0);

return NDIS_STATUS_NOT_ACCEPTED;

}

}

 

// 规则判断结束

//-----------------------------------------------------

 

到这里 ，PtReceive 函数已经修改完了 ， 只要调用 PtReceive 函数接收数据报的时候就可以执行我们的规则了 ， 修改 PtReceivePacket 函数 ， 其实上面的修改代码内容都是一样的 ， 只不过 PtReceivePacket 函数跟 PtReceive 函数不太一样 ，PtReceivePacket 直接在入口参数中就得到了 PNDIS_PACKET 的结构 Packet， 存放了数据报的所有内容 ， 所以 ， 直接将上面的代码粘到函数 PtReceivePacket 的代码中就可以了。

上面所定义的规则很简单只是作为介绍，其实在pPacketContent已经得到了所有的数据报内容，我们可以任意扩展规则。比如，过滤指定IP、指定端口的数据报。