基于NDIS中间层的网络数据包拦截技术及实现.docx

? ?,? ?（贵州大学 计算机科学与技术学院，贵州 贵阳 550025）摘 要:?z??) Tit4om? ???????fi???z?,?????z??a?f,??a) NQt3 ?????fi?????b??p??) Tit4om? 2000/×g ???????????fi???b关键词:NQt3 ?????;???;??fi?N¤twork data pa×k¤ts int¤rפption t¤×hnology and impl¤m¤nt bas¤d on NDISint¤rm¤diat¤ lay¤rPtt ￠it,lAO Bit(tt?titrt¤ ot T¤·htotogy at4 lomgrt¤? 3·i¤t·¤,Gri ?hor Ttiv¤??ity,Gri yatg 330023,P.R.lhita)Abstract：Thi? gag¤? ataty?i? th¤ may ot th¤ mit4om? gtatto?m rt4¤? va?ior? ga·L¤t titt¤? 4to·Litg..A4ogtiot itt¤?·¤gtitg m¤tho4 ot th¤ t¤tmo?L4ata ga·Lag¤ 4a?¤4 ot th¤ NQt3 itt¤?m¤4iat¤ t¤v¤t. Th¤t thi? gag¤? 4i?·r??¤? th¤ Q¤?igt at4 imgt¤m¤ttatiiot ot a gtatto?m t¤tmo?L 4ata ga·Lag¤ot itt¤?·¤gtiot at4 g?o·¤??itg. ot Tit4om? 2000/×g rt4¤?.Key words：NQt3 itt¤?m¤4iat¤ 4?iv¤?;ga·L¤t titt¤?itg;t¤tmo?L 4ata ga·L¤t?1 ??随着计算机网络技术的快速发展和 Internet/Intranet技术日益深入的应用，以及许多新的网络服务的出现，计 算机网络与人类的生产、生活、科学技术与文化事业密不 可分，使得人们的工作和生活发生了巨大的变化；与此同 时也给人们带来了一个十分严峻的问题——网络安全。一 旦网络安全问题发生，通常会引起严重的后果。为了增强 网络的安全性，人们通常在 Internet 与局域网之间引入防 火墙。由于 Windows 2000/ X P 是目前广泛应用的操作系 统，使得在 Windows 2000/ X P 下保障网络安全通信成 为一个迫切需要解决的问题。基于 W indows 平台下的网 络安全产品基本上是基于 W indows 操作系统下网络封包 的拦截技术的实现。在网络封包拦截的基础上，可以实现 数据包的过滤与处理。数据包过滤 [1] 是指在网络层对数 据包实施有选择的通过 , 依据系统事先设定好的过滤逻辑, 检查数据流中的每个数据包 , 根据数据包源地址、目的 地址 , 所使用的端口号，协议状态等对数据进行过滤。本 文采取在 NDIS 中间层拦截和过滤数据包，因为在此层， 无论是网卡接收并上传的数据封包，还是上层要下送至网 卡发送的数据封包，无一例外地要经过这里。所以，它能 够截获所有的网络数据包。在此基础上 , 可以根据帧头和 报头分析协议类型，进而可以拒绝截获到任意类型的网络 数据包。2 Windows ???#‰?￠???$拦截 Windows 下的网络封包可以在多个层面进行，在不同层面所拦截的网络封包结构各不相同。总的来说 可以在两个层面进行：用户态（u s e r － m o d e）和内核态（kernel － mode）。2.1 用户态下 (user － mode) 的网络数据包拦截在用户态下，通常有以下几种方法拦截数据： (1)Winsock Layered Service Provider(LSP)； (2)Windows 2000 包过滤接口(3) 替换系统自带的 Winsock 动态连接库2.1.1 Winsock Layered Service Provider( 也称之 windows socket 2 SPI)Windows Socket 2 是一个接口，它可以用于发现和使 用任意数量的底层传输协议所提供的通信能力。Winsock 2 不仅提供了一个供应用程序访问网络服务的 Windows Socket 应用程序编程接口 (API)，还包含了由传输服务提 供者和名字解析服务提供者实现的 Winsock 服务提供者接 口 (SPI) 和 ws2_32.dll。Winsock 2 SPI(service provider interface) 服务提供者接口建