Windows下网络数据报的监听和拦截技术.docx

Windows下网络数据报的监听和拦截技术1

Windows下网络数据报的监听和拦截技术是一个比较古老的话题，应用也很广泛，例如

防火墙等等。这篇小文只是对该技术的一个总结，没有技术，高手免看：〕

要监听和拦截Windows下的数据报，根本可以在两个层次进展，一个是用户态(user-mo

de)，一个是核心态(kernel-mode)。

在用户态下，从高到低或许有四种方法。

1、原是套结字(RawSocket)。Winsock2以后供给了原始套结字功能，可以在用户态用

Winsock函数接收全部流经Winsock的IP包。这种方法在MSDN里面有表达，是MS官方支持

的方法，在网上也有很多资料。但是这种方法只能监听但是不能拦截数据报，所以可以

作为网络监视器的选择技术，但是不能实现防火墙等更高要求的功能。另外最致命的缺

点就是只能在Winsock层次上进展，而对于网络协议栈中底层协议的数据包例如

TDI无法

进展处理。对于一些木马和病毒来说很简洁避开这个层次的监听。

2、替换系统自带的WINSOCK动态连接库。这种方法可以在很多文章里面找到具体的实现

细节。通过替换系统Winsock库的局部导出函数，实现数据报的监听和拦截。缺点同1。

3、Winsock效劳供给者(SPI)。SPI是Winsock的另一面，是Winsock2

的一个特性。

起初的Winsock是围围着TCP/IP协议运行的，但是在Winsock2中却增加了对更多传输协

议的支持。Winsock2不仅供给了一个供给用程序访问网络效劳的Windowssocket

应用程

序编程接口〔API〕，还包含了由传输效劳供给者和名字解析效劳供给者实现的

Winsock

效劳供给者接口〔SPI〕和ws2_32.dll。Winsock2的传输效劳供给者是以动态链接库的

形式〔DLL〕存在的。以下是winsock2在传输效劳供给者上的WOSA〔Windows

开放效劳构造〕:

|Windowssocket2应用程序|

----------------------------Windowssocket2API

| WS2_32.DLL |

----------------------------Windowssocket2传输SPI

| 传输效劳供给者〔DLL〕 |

WindowssocketSPI供给三种协议：分层协议，根底协议和协议链。分层协议是在根底

协议的上层，依靠底层根底协议实现更高级的通信效劳。根底协议是能够独立，安全地

和远程端点实现数据通信的协议，它是相对与分层协议而言的。协议链是将一系列的基

础协议和分层协议按特点的挨次连接在一起的链状构造，可以通过PlatformSDK

附带的

工具Sporder.exe观察系统已经安装的SPI，请参见以下图：API------------------------

| WS2_32.DLL |SPI------------------------

|分层协议|SPI-------------

|分层协议|

SPI------------------------

| 根底协议 |

每个应用程序通过Ws2_32.dll和相应的效劳供给者进展严格的数据交换。Ws2_32.dl

l根

据应用程序在创立套接字时所供给的参数来选择特定的效劳供给者，然后把应用程序的

实现过程转发由所选创立套接字的效劳供给者来治理。也就是说，Ws2_32.dll只是一个

中间过程，而应用程序只是一个接口，数据通信的实现却是由效劳供给者来完成的。所

以我们通过适当的增加自己的分层协议效劳供给者，使其位于SPI的顶端，那么就能将W

s2_32.dll传给效劳供给者的数据报拦截下来。由于是MS的官方方法，具体的使用方法在

其PlatformSDK里面有具体的例子(LSP)，在MSDN里面也有具体的解释。这种方法的优点

是能够获得调用Winsock的进程的具体信息，并能实现Qos和数据加密。所以SPI是用户态

数据拦截的较好地点。缺点同1。

4、Windows2023包过滤接口。由于过滤规章限制太多不敏捷而应用不

多。

5、网络监视器SDK。MS官方的实时监视分析网络数据的方法。但是由于封装的太复?

樱?

使用起来不敏捷。

在核心态下，数据报的监视和拦截方法比较简单，由于大多个人防火墙都是在核心?

?

实现的，所以在这里比较具体的表达一下。具体的请参见nt/2kDDK文档。或许有下面几

个方法。

1、 TDI过滤驱动程序〔TDIFilterDriver〕。

2、 NDIS