Windows下网络数据报的监听与拦截技术.doc

Windows下网络数据报的监听和拦截技术1 Windows下网络数据报的监听和拦截技术是一个比较古老的话题，应用也很广泛，例如 防火墙等等。这篇小文只是对该技术的一个总结，没有新技术，高手免看：） 要监听和拦截Windows下的数据报，基本可以在两个层次进行，一个是用户态(user-mo de)，一个是核心态(kernel-mode)。 在用户态下，从高到低大概有四种方法。 1、原是套结字(Raw Socket)。Winsock2以后提供了原始套结字功能，可以在用户态用 Winsock函数接收所有流经Winsock的IP包。这种方法在MSDN里面有叙述，是MS官方支持 的方法，在网上也有很多资料。但是这种方法只能监听但是不能拦截数据报，所以可以 作为网络监视器的选择技术，但是不能实现防火墙等更高要求的功能。另外最致命的缺 点就是只能在Winsock层次上进行，而对于网络协议栈中底层协议的数据包例如TDI无法 进行处理。对于一些木马和病毒来说很容易避开这个层次的监听。 2、替换系统自带的WINSOCK动态连接库。这种方法可以在很多文章里面找到详细的实现 细节。 通过替换系统Winsock库的部分导出函数，实现数据报的监听和拦截。缺点同1。 ? 3、Winsock服务提供者(SPI)。SPI是Winsock的另一面，是Winsock2的一个新特性。 起初的Winsock是围绕着TCP/IP协议运行的，但是在Winsock 2中却增加了对更多传输协 议的支持。Winsock2不仅提供了一个供应用程序访问网络服务的Windows socket应用程 序编程接口（API），还包含了由传输服务提供者和名字解析服务提供者实现的Winsock 服务提供者接口（SPI）和ws2_32.dll。 Winsock 2的传输服务提供者是以动态链接库的 形式（DLL）存在的。以下是winsock 2在传输服务提供者上的WOSA（Windows开放服务结 构）: ---------------------------- |Windows socket 2 应用程序| ----------------------------Windows socket 2 API | WS2_32.DLL | ----------------------------Windows socket 2 传输SPI | 传输服务提供者（DLL） | ---------------------------- Windows socket SPI提供三种协议：分层协议，基础协议和协议链。分层协议是在基础 协议的上层，依靠底层基础协议实现更高级的通信服务。基础协议是能够独立，安全地 和远程端点实现数据通信的协议，它是相对与分层协议而言的。协议链是将一系列的基 础协议和分层协议按特点的顺序连接在一起的链状结构，可以通过Platform SDK附带的 工具Sporder.exe察看系统已经安装的SPI，请参见下图： API------------------------ | WS2_32.DLL | SPI------------------------ | 分层协议 | SPI------------- | 分层协议 | SPI------------------------ | 基础协议 | ------------------------ 每个应用程序通过Ws2_32.dll和相应的服务提供者进行严格的数据交换。Ws2_32.dl l根 据应用程序在创建套接字时所提供的参数来选择特定的服务提供者，然后把应用程序的 实现过程转发由所选创建套接字的服务提供者来管理。也就是说，Ws2_32.dll只是一个 中间过程，而应用程序只是一个接口，数据通信的实现却是由服务提供者来完成的。所 以我们通过适当的增加自己的分层协议服务提供者，使其位于SPI的顶端，那么就能将W s2_32.dll传给服务提供者的数据报拦截下来。由于是MS的官方方法，具体的使用方法在 其Platform SDK里面有详细的例子(LSP)，在MSDN里面也有详细的解释。这种方法的优点 是能够获得调用Winsock的进程的详细信息，并能实现Qos和数据加密。所以SPI是用户态 数据拦截的较好地点。缺点同1。 4、Windows2000包过滤接口。由于过滤规则限制太多不灵活而应用不多。 5、网络监视器SDK。MS官方的实时监视分析网络数据的方法。但是由于封装的太复? 樱? 使用起来