Комментарии 13
15 лет назад мы вешали на прерывания резидента, который отправляемые на принтер точки заменял на «раком», а запятые на «боком». Училка по информатике была в экстазе.
Небольшие замечания. Перечислены не все способы фильтрации/перехвата трафика
6. Windows Filtering Platform. Самый гибкий способ, позволяющий производить прослушивание/фильтрацию трафика на множестве уровней сетевого стека, но при этом требующий внимания ко множеству деталей.
7. Lightweight NDIS Filters. Простейший способ, допускающий прослушивание/фильтрацию пакетов.
8. ETW (Microsoft-Windows-NDIS-PacketCapture). В частности команда «netsh trace start capture=yes» включает сниффинг пакетов. Самый простой способ: не требует дополнительных драйверов вообще, но работает только в Windows 7
Замечание насчет TDI фильтров: они просто не работают на современных версиях Windows (начиная с Vista). То есть они то нормально встраиваются в стек \Device\Tcp, например, и какие то legacy TDI-клиенты наверное все еще будут использовать TDI для общения с сетью, но вся винда (в том числе afd.sys, который используется WinSock-ом) использует WSK. По моему опыту, TDI фильтры систему не замедляют, встроиться в стек довольно легко, но вот количество нюансов, которые нужно понимать действительно слишком высоко.
6. Windows Filtering Platform. Самый гибкий способ, позволяющий производить прослушивание/фильтрацию трафика на множестве уровней сетевого стека, но при этом требующий внимания ко множеству деталей.
7. Lightweight NDIS Filters. Простейший способ, допускающий прослушивание/фильтрацию пакетов.
8. ETW (Microsoft-Windows-NDIS-PacketCapture). В частности команда «netsh trace start capture=yes» включает сниффинг пакетов. Самый простой способ: не требует дополнительных драйверов вообще, но работает только в Windows 7
Замечание насчет TDI фильтров: они просто не работают на современных версиях Windows (начиная с Vista). То есть они то нормально встраиваются в стек \Device\Tcp, например, и какие то legacy TDI-клиенты наверное все еще будут использовать TDI для общения с сетью, но вся винда (в том числе afd.sys, который используется WinSock-ом) использует WSK. По моему опыту, TDI фильтры систему не замедляют, встроиться в стек довольно легко, но вот количество нюансов, которые нужно понимать действительно слишком высоко.
За статью большое спасибо. Было бы круто еще почитать и о драйверах файловой системы.
Очень хотелось бы почитать о драйверах NDIS Miniport, изменяющих данные пакетов.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Пишем свой промежуточный драйвер. Часть 1