基于NDIS中间层的网络数据包拦截技术及实现
基于Windows平台的数据包实时传输模拟
基于Windows平台的数据包实时传输模拟王子超;丛静;黄永锋;潘乔【摘要】采用基于Windows 平台的网络驱动程序接口规范技术,设计并实现一个基于协议过滤的高精度网络模拟器.该模拟器可实时模拟广域网传输链路的各种网络传输条件,包括网络带宽、数据包的丢包、传输延迟及传输错序等.性能测试结果表明,该网络模拟器达到了高精度、低负荷的设计要求.其实现有助于研究多媒体网络应用服务质量、进行网络协议分析以及验证各种网络流量控制算法.【期刊名称】《计算机工程》【年(卷),期】2010(036)019【总页数】4页(P142-144,147)【关键词】网络驱动程序接口规范;网络模拟器;传输延迟;带宽;丢包【作者】王子超;丛静;黄永锋;潘乔【作者单位】东华大学计算机科学与技术学院,上海,201620;东华大学计算机科学与技术学院,上海,201620;东华大学计算机科学与技术学院,上海,201620;东华大学计算机科学与技术学院,上海,201620【正文语种】中文【中图分类】N945.131 概述网络模拟是一种网络仿真方法,它为测试 Internet上的应用系统和技术提供了一个方便、高效的验证与分析方法,具有费用较低、规模较小、使用方便等特点,适用于实验室环境。
网络模拟器是一种半实物的网络模拟系统,它构造的虚拟网络和真实网络需要进行同步,其特点是实时性高,模拟器内部规定第n秒发生的事件即模拟开始之后外界时钟推进到第n秒发生的事件。
真实网络具有不稳定、不可重复再现等特点,而网络模拟器可在实验室为网络研究人员提供可控、可再现的网络环境,能加快网络协议和技术的开发速度。
国内外已有的网络模拟器大多是实现在开源操作系统上的。
EMPOWER[1]是基于Linux的分布式模拟系统,可模拟多个节点之间的网络环境,并适用于无线网络环境。
ENDE[2]基于 Linux操作系统,主要实现了网络单程延迟的模拟,其目标是应用于多媒体协议的测试。
防火墙的数据包拦截方式小结
防火墙的数据包拦截方式小结网络防火墙都是基于数据包的拦截技术之上的。
在Windows下,数据包的拦截方式有很多种,其原理和实现方式也千差万别。
总的来说,可分为“用户级”和“内核级”数据包拦截两大类。
用户级下的数据包拦截方式有:* Winsock Layered Service Provider (LSP)。
* Win2K 包过滤接口(Win2K Packet Filtering Interface)。
* 替换Winsock动态链接库 (Winsock Replacem ent DLL)。
内核级下的数据包拦截方式有:* TDI过滤驱动程序 (TDI-Filter Driver)。
* NDIS中间层驱动程序 (NDIS Intermediate Driver)。
* Win2K Filter-Hook Driver。
* Win2K Firewall-Hook Driver。
* NDIS-Hook Driver。
在这么多种方式面前,我们该如何决定采用哪一种作为自己项目的实现技术?这需要对每一种方式都有一个大致的了解,并清楚它们各自的优缺点。
技术方案的盲目选用往往会带来一些技术风险。
以自己为例,我需要在截包的同时得到当前进程文件名,也就是说,需向用户报告当前是哪个应用程序要访问网络。
在选用Win2K Filter-Hook Driver这一方案之后(很多小型开源项目都采用这一方案),便开始编码。
但之后发现Win2K Filter-Hook Driver的截包上下文处于内核进程中,即IRQL >= DISPATCH_LEVEL,根本无法知道当前应用程序的名字。
相比之下,TDI-Filter Driver和NDIS-Hook Driver则可以得知这些信息。
其中TDI-Filter Driver比NDIS-Hook Driver更能准确地获知当前应用程序文件名,后者的接收数据包和少数发送数据包的场景仍然处于内核进程中。
一种基于NDIS中间层驱动的园区网流量控制方案
的控制功能最直接的方法就是编写一个 N I DS中间层驱动安装 到操作系统 中, 这个 中间层驱动程序需要受 到客户端应用程序的管理 , 并且接受中心服务器的统一调度 ; 另外 , 为了强制用户计算机安装该驱动 , 还需要
21 0 0年 3月
湖 南 师 范大 学 自然科 学 学 报
J un lo tr lS in e o n n No ma i est o r a fNau a ce c Hu a r l Un v ri f y
V0. 3 No 1 13 . M a ., 01 r 2 0
Байду номын сангаас
Tr f c Co to lt n f rCa a i n r l So u i o mp s Ne wo k b o u t r y NDI n e me it ie S I t r da e Dr r v
CHEN ix n,ZH Zh — i ANG iy n Zh - o g,S o HI Y u
园区网 ; 流量控制 ; DS 网络应用识别 N I;
T32I P0 . 文献 标 识 码 A 文章编号 10 -5 7 2 1 ) 132 - 0 023 (0 0 O 4 90 0 4
阐述 了整个流量控制系统的构成 , 并就核心的 网络应用识别 算法进行 了详细说 明.
关键词
中图 分 类 号
n n e Ac o d n o t e c a a t rsi so i su a c. c r i g t h h r c e it ft s is e,a ta i o to y tm s p e e td.Th o e n t r p l c h r f c c nr ls se i r s n e e c r ewo k a p i — c t n i e t c to lo i a i d n i a in ag rt o i f hm sd s rb d i eal s we la e wh l tu t r ft i y t m. i e c i e n d t i,a l st oe sr cu e o h ss se h
基于NDIS中间层的木马防护机制研究及实现
El e c t r o ni c Sc i .& Te c h . /M a y .1 5. 2 01 3
基于 N DI S 中 间 层 的 木 马 防 护 机 制 研 究 及 实 现
洪双喜 ,雷
摘 要
涛
4 5 0 0 1 1 )
随着社会信 息化 以及信息 网络化的迅速发展 , 网 络安 全 问题 1 3益 突 出且 越 来 越 复 杂 , 已经 成 为 亟 待解
决 的问题 , 并 引起 各 方 的关 注 。 目前 以木 马 病 毒 对 网 络 系统信 息进 行 的窃取 、 篡改 行 为最 为突 出 , 这对 网络 用户 的信 息 安全 构 成 了 巨大 威 胁 。与 此 同时 , 各 种 病 毒程 序 , 尤 其 是 木 马 程 序 通 过 计 算 机 网络 渗 透 到 P C 机中, 窃取秘密信息 , 给 信 息 系统 或个 人 带 来 严 重 威 胁 。比较 有 名 的 杀 毒 软 件 如 3 6 0 、 瑞 星 等 杀 毒 软 件 可 以对计算 机 起到 良好 的 保 护作 用 , 但 对 已经 潜 入 计 算
HONG S h u a n g x i ,L EI Ta o
( S c h o o l o f I n f o r m a t i o n E n g i n e e r i n g ,N o a h C h i n a U n i v e r s i t y o f Wa t e r C o n s e r v a n c y
t e c t i o n me c h a n i s m i n k e r n e l l e v e l b a s e d o n NDI S i n t e m e r d i a t e d iv r e r t e c h n i q u e o n t h e wi n d o ws p l a t f o m r i s p u t f o r wa r d .
Windows下截获网络数据——winpcap源代码分析
Windows下截获网络数据——winpcap源代码分析王守彦1简介在本刊的前期中,介绍用于截获网络数据的通用库libpcap的高层实现,及在linux/unix 下底层实现。
Winpcap是libpcap的windows版本,它们虽然提供了同样的高层接口,但底层实现却截然不同。
对于linux/unix,网络数据的截获作为系统的一项基本功能,大多直接实现于内核中,用户只要调用简单的接口函数,就能截获通过网络适配器的数据,windows 系统本身不提供截获网络数据的接口,但提供一套和网络适配器交互的网络驱动器接口规范(NDIS),可以通过NDIS实现网络数据的截获。
本文作为前文的补充,详细分析winpcap 的结构和如何通过NDIS实现网络数据的截获和过滤。
本文分为三个部分:winpcap结构、NDIS概述和winpcap包截获驱动器源代码分析。
2Winpcap结构图1 winpcap结构图1描述了winpcap的结构,其中windump.exe是一个使用winpcap的外部程序,winpcap 包括libpcap通用接口、packet.dll动态链接库和NDIS包截获驱动器三个部分。
NDIS包截获驱动器用于从网络适配器(Network Adapter)截获数据,并提供一套标准的接口函数,如read,write,ioctl等;packet.dll提供对NDIS包截获驱动器接口函数的封装,对上层(libpcap)提供更为方便的接口;libpcap调用packet.dll中的函数,提供和linux/unix平台上libpcap相同的接口,实现代码的通用性。
实际上在windows编程中使用packet.dll提供的接口函数和使用libpcap函数一样方便,它们都是对其它函数的封装,本文不做分析,而是着重分析NDIS包截获驱动器的实现。
3NDIS概述包截获驱动器通过NDIS(网络驱动器接口规范)与网络适配器交互,NDIS是win32网络代码的一部分。
产品特性技术路线描述与实现依据
资料范本本资料为word版本,可以直接编辑和打印,感谢您的下载产品特性技术路线描述与实现依据地点:__________________时间:__________________说明:本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容产品特性技术白皮书产品营销部编制:2009-8-1RG-SMP 2.X桌面管理/审计组件主要针对IT运维中PC桌面管理维护工作的平台型软件系统。
产品主要是以结合WMI、MBSA、SPI、PFI、FACF等多种技术,形成一套集中性的控制系统。
产品技术架构图如下:WMI、MBSA、SPI、PFI、FACF及各种Windows SDK进程管理策略网络访问策略外设使用策略桌面设置策略补丁更新策略日志管理策略操作系统平台:Windows 98、Windows NT、Windows 2000、Windows XP、Windows 2003、vista硬件及外设配置应用程序信息补丁安装信息桌面设置信息网络端口及流量各种PC性能阀值应用软件部署客户端调度程序服务器及数据库系统RG-SMP控制台创新点一:PFI(Process Fingerprint Identification,进程指纹技术)PFI是锐捷经过几年的技术研究,以及反复的验证,研发出的进程唯一性指纹技术,采用分析进程执行文件的PE格式,然后进行加密,生成一种类型的软件,在进程中的唯一标识性代码,RG-SMP 2.X桌面管理/审计组件通过这一代码,并预先设定一个PC的进程运行策略,从而根据策略判断,哪些进程是合法的,哪些是非法的,对于非法的则进行查杀。
这一技术经过了长时间的验证,能够避免PC使用者为了逃避管理而采取的更改权限、更改文件属性多种手段。
创新点二:FACF(File Access Control Filtering,文件访问过滤)FACF是锐捷基于操作系统内核,创建了一个对PC用户访问文件的过滤机制,这个过滤机制能够根据预先建立的规则,对于PC用户的磁盘进行读保护、写保护以及删除保护。
能源行业数据安全解决方案
能源行业数据安全解决方案一、能源行业行业背景能源行业是国家的支柱行业,也是政府大力支持的核心产业之一;办公自动化OA、生产管理、机械自动化控制、ERP、财务管理等信息化管理手段已在能源行业广泛应用;信息技术的发展对于能源行业有着革命性的意义,为了完善企业生产、管理,发展更新更好更为先进的专业应用平台,企业需要累积大量的信息数据;能源行业已从基础的生产自动化逐步向管理信息化发展,以提高自身在国内国际的竞争力,从而提高企业效益;信息化的发展极大推动了电力、水利、石油、煤矿产业的发展,信息技术大幅度提高企业的内部管理效率、降低管理所需成本、提高生产效率及价值链竞争效率;数据资料在各种系统中起到重要决策依据的能源行业,如何确保数据的安全,完善信息化管理也是目前急需解决的问题;二、需求分析能源行业主要的数据为历史积累数据、生产控制系统数据、企业管理数据、办公文档及财务管理数据等;根据能源行业的自身特点,数据多样化、信息量庞大以及计算机分散是其数据安全管理的难点,各部门、各科室、分支机构地域分散,而如何将分散的数据集中备份、集中管理、防止泄漏是我们解决的重点,下图向您展示了能源行业网络结构图;根据数据的重要性,需要实现对各服务器数据库、数据进行备份,当服务器数据丢失或损坏时能够以最快速度恢复生产和管理,减少生产中断时间;自动备份企业各部门的办公、管理、财务等数据,有效防止数据丢失或损坏;PYD信息防泄漏系统还能够为企业提供了全面的信息防泄漏保护,有效防止因重要管理数据泄漏造成的不可弥补的损失;三、软件向能源行业提供的全面数据安全解决方案在信息化管理中还意味着有以下令人堪忧的隐患:硬件设备损坏、磁盘逻辑错误、应用程序故障,导致关键数据丢失、业务中断;人为误操作、破坏,导致数据丢失或系统无法正常运行;病毒破坏、黑客攻击、操作系统故障导致数据丢失或损坏;没有预防火灾、天灾等不可抗力灾难对系统构成的威胁;重要管理数据损坏;重要生产、管理数据被窃取;数据信息的安全性、可靠性和私密性影响企业的生存能力;企业需要信息数据安全的可靠保障,软件为您提供全面的数据安全解决方案;强大的数据安全备份解决方案和信息防泄漏保护方案,为企业信息化发展保驾护航:数据备份LAN备份解决方案NAS存储备份解决方案各服务器数据库快速备份解决方案电脑集群数据备份及灾难恢复解决方案分支机构远程数据备份保护解决方案信息防泄漏基于驱动技术设计,杜绝一切漏洞;智能化的防复制手段,杜绝任何途径将数据带出;从容应对多样化的网络传输手段,邮件、FTP、共享也得到全面保护;非认证设备全面接管,包括外置移动存储设备、打印机、额外挂接硬盘等;无论您部署数据备份系统或是信息防泄漏系统,都不会改变或影像日常工作和操作习惯,对于服务器或员工来说这些保护都是透明的;I.基本需求准备一台或多台服务器作为备份专用服务器,服务器在整个安全系统中扮演调度中心的角色,您可以将数据存储在专业的外置磁盘柜或内置磁盘阵列中以提高存储的安全性,所有备份的数据均可以加密、压缩,管理员也无法查看这些数据;信息防泄漏服务器可使用数据备份服务器,因为该服务器只做网络信息交换,切数据量很小,占用极少的系统资源;II.服务器的数据备份与保护管理员定制各重要数据库服务器、文件服务器、OA/ERP数据服务器、管理平台财务平台服务器、生产控制服务器的备份方案;自动对数据库、文件、OA/ERP数据、管理财务平台、生产控制服务器内的数据进行全自动化备份;在遇到数据灾难时,备份系统所提供的智能恢复功能能够快速为您完成数据恢复工作,减少生产管理中断时间,降低因生产中断所造成的损失;如果您需要对服务器数据进行保护,您只需部署信息防泄漏系统客户端即可,安装完毕后即进入保护状态,您可以通过管理机对保护策略进行调整;III.各地分支机构实现数据远程集中备份管理能源行业企业规模较大,分支机构众多,备份系统能够通过国际互联网或企业专用网络通道实现各分支机构数据、数据库的集中远程备份、管理和快速恢复;集中备份管理突出优势在于,由企业直接管理分支机构数据安全,因此分支机构无需专人管理,集中备份管理还大大提高信息的安全性、私密性;备份系统采用先进的数据包压缩加密技术,以确保在网络传输过程中的速度及安全性;IV.信息防泄漏辅助方案如果您希望对企业数据的信息安全进行防护,建议您部署PYD信息防泄漏系统,该系统基于驱动层加密,任何未经授权的复制、传输都无法将数据带出;有效杜绝因资料泄漏造成的损失,是保护知识产权、保障企业信息安全的最佳防护手段;PYD还能够对移动办公设备进行信息防护,例如笔记本电脑等,管理员可设定笔记本电脑带出后是否可以复制出数据,复制几次等;四、数据备份大师系列产品数据备份大师系列企业数据备份软件是一款基于WINDOWS全系列平台智能化企业数据备份系统,是目前国内市场占有率最高的知名品牌,拥有近十年的历史;它允许企业用户最大化利用企业现有硬件资源,以最小的投入为企业迅速建立一套快速、稳定、强大的无人值守式数据备份保护机制;客户端系统能够稳定运行于WINDOWS全系列平台,很好的解决了客户平台多样性的问题;网络备份与异地存储是当今最为流行的备份趋势,通过企业局域网络、广域网络将数据安全的备份到异地数据中心,以成为企业最佳存储方案,企业数据备份与恢复解决方案SBS 帮助客户有效解决IT系统的数据保护问题,确保企业的业务连续性,轻松地实现信息存放、迁移、保护、恢复和淘汰的自动化,以实现动成长企业以及信息生命周期管理ILM战略,并为实现企业信息主动归档、部署参考信息存储系统RISS打下良好的基础;数据备份大师的突出优势在于灵活自动化的备份机制和管理机制,最少的管理开销,同时也保障了备份数据的高度可靠性;无须额外的人力成本投入,所有备份流程完全按照预设的机制自动进行,系统故障无须人员响应,即可自动将当前版本数据维持在一个稳定状态,保证备份数据永远保持在可恢复状态;功能特点介绍超过百种备份方案的支持数据备份大师系列软件能够支持丰富的高端备份功能,包括完全备份、增量备份、差异备份、压缩备份、同步备份、镜像备份、覆盖备份、索引备份,并支持实时备份与计划备份两种任务形式,任何企业都能够轻松定制适合企业的任务方案;自主研发的先进FCA/FCP网络传输控制协议备份系统采用基于TCP/IP协议自主研发的先进FCA/FCP传输控制协议,该协议集实时数据包压缩、加密、校验于一体,充份保障了数据传输的效率、安全性、完整性;FCA/FCP具备先进的智能数据分析控制机制,支持完善的断点续备、续传机制,完全的文件目录备份机制,备份包括文件目录属性、日期、设定等;24X7不间断运作及100%数据精确备份与恢复备份系统向用户提供了24X7不间断、连续的、无人职守化的备份功能,能够向用户提供长期的、稳定的备份机制,充份保障企业数据备份的有效实施;系统还具备完善的数据备份校验机制,保障100%精确备份用户数据及恢复数据,确保企业的业务连续性;国际语言UNICODE编码的完整支持备份系统能够完整的支持UNICODE编码,能够轻松跨越用户计算机的语言环境、文件目录的命名语言等特殊情况,完整的备份任何国家语言命名的数据;“颗粒”备份技术充份保障数据备份的效率数据备份大师系列软件的“颗粒”备份技术通过只备份新生成的和更改的数据块,加快了备份的速度,并大大地降低了存储成本;所有的备份数据在传送前都经过压缩和加密处理,并在备份存储时保持这种状态,这样既提高了安全性也降低了存储的消耗;数据在备份时不打断其它关键业务的应用程序;行业内最为强大先进的过滤系统系统除支持常规的文件类型过滤外,还向企业提供了高级过滤功能,用户能够通过高级过滤系统,完成对文件、目录名称的过滤、路径过滤、文件大小过滤、创建或修改日期过滤、相对时间过滤及文件使用状态过滤功能等;强大灵活的过滤系统,充份保障备份数据的有效性,降低无效数据对存储空间的占用,保障企业的投入最小化;自由的传输指向及丰富的介质支持备份系统数据传输指向非常的灵活,可以轻松做到本地到远程、远程到本地、远程到远程、本地到本地的数据传输,任何一台服务器或客户端都可以作为数据源、也可以作为存储介质,极大的方便了用户的部署复杂度,减低存储硬件投资,打破存储设备之间的物理分割;系统还支持丰富的存储介质,包括磁盘、阵列、阵列柜、USB设备、1394设备、网络存储设备、光存储设备及远程FTP服务器;强大的远程管理功能系统为用户提供了强大的远程管理功能,包括远程文件管理、远程计算机控制、远程协助、远程屏幕监控、远程硬件查看等,同事备份系统还向用户提供了基础的通讯功能,如:发布远程公告或通知、远程聊天等,极大方便了企业内部的通讯;远程通知系统轻松实现无人职守化管理备份系统提供了24X7不间断无人职守化备份功能,管理员能够轻松的通过远程通知系统,随时了解备份系统的运作情况;远程通知系统支持包括MSN消息通知、桌面短消息通知、电子邮件通知、手机短信息通知、客户端消息通知、消息通知等众多通知形式,管理更自由、更轻松;国际标准的加密技术充份保障企业信息安全数据集中备份存储所带来的另一问题就是信息安全,如何保障服务器数据不被非法查阅或获取成为备份系统所必须解决的重要问题之一;数据备份大师系列软件向用户提供了数十种国际标准的加密技术,包括DES、3DES、BLOWFISH、TWOFISH、ICE、ICE2、CAST128、CAST256、THIN ICE、RC2、RC4、RC5、RC6、RIJNDAEL、SERPENT、TEA、MARS加密标准;支持的散列算法包括了MD4、MD5、SHA-1、SHA-256、SHA-384、SHA-512、Haval、RipeMD-128, RipeMD-160、Tiger等,它为企业、政府、部队提供了高标准的数据加密安全存储标准,充份保障企业、政府、部队对信息安全的保密需求;美国工业级压缩算法备份系统压缩算法采用美国工业级压缩算法,具备压缩速度快、效率高、稳定性强等特点,备份出的压缩包裹为固体包裹,有效防止用户、病毒对备份数据的破坏;异常强大的报表系统系统为管理员提供了异常强大的报表系统,报表系统能够为管理员提供日、月、季、年的备份报告,报告以文字及图形方式向管理员提供了包括备份流量、容量、文件数、时间、传输途径、存储介质等信息,有效帮助管理员完成工作报告的撰写及备份系统工作情况的分析;五、PYD信息防泄漏产品PYD信息防泄露以下简称PYD系统是一款基于WINDOWS平台的自动化、智能化的专业数据加密系统,是为企业数据安全研发的新一代数据安全系统;它能够为企业快速建立完善的数据安全体系,防止因黑客攻击、员工跳槽、企业外部人员窃取等原因而造成的企业机密数据泄露,让企业以最小化的投入实现企业无形资产的全面保护;系统的通讯稳定,采用NDIS中间层网络驱动通信方式;产品性能稳定,带宽占用低,资源耗费低; 为满足高安全性要求的企业要求,PYD创新的研发了“自定义新增软件”功能模块,改变了以往企业只能加密开发商所提供的加密文件类型;系统利用软硬件相结合的技术,配合国密办指定的SCB2通用加解密算法,能够满足企业、政府、部队、军工企业的高标准要求;经过多年的来的不断优化改进, PYD信息防泄漏系统的部署及使用都非常简便,用户无需额外的购买任何硬件,也无需对现有的网络结构进行任何的调整,直接部署系统后并下发策略系统就可以开始对客户端操作的文件进行同步加密,实现文件加密的全智能化;如下图所示,PYD信息防泄漏系统模块划分非常清晰,分为服务器、管理机、解密机、客户端四个部分,服务器负责网络通讯与数据交换、管理机负责下发策略和管理策略、解密机则能够解密数据;用户能够根据企业管理需要自由部署这些模块,以方便管理;当然您也可以将其部署在一台服务器上;客户端安装后对于员工是透明的,无法看到也无法关闭,基于驱动层的设计使得保护更加全面,能够跨越系统权限、外部程序等因素的干扰,彻底杜绝任何途径的泄漏可能,即便网络中断保护也不受影响;对笔记本电脑等移动办公设备也提供了全面保护;五大功能特色零硬件投入零网络结构调整软件安装部署快速便捷PYD信息防泄漏系统充分利用企业现有网络及硬件资源,在不对现有网络结构进行改造及额添加任何硬件的前提下完成数据的加密工作;经过几年的不断完善和优化,使其安装快速便捷,支持WINDOWS平台操作系统,安装过程无需任何配置,点击下一步即可完成安装操作;安装完成后的客户端管理工作全部在管理机上集中进行策略的管理、维护及卸载;高度集成化的客户端高度集成化的客户端,客户端统揽文件加密、电脑自身输出设备如USB接口,光驱,软驱及外接输出设备如打印机的监控;当连接到网络上时,信息防泄露系统还可以对电脑的剪切板和截屏进行控制;所有的加密工作全部由客户端在后台自动完成,对于员工来说PYD系统是完全透明的;文件主动强制加密拷贝自动加密让你高枕无忧在管理机上下发策略以后,客户端会自动对当前操作的文件自动进行加密;在默认情况下,当用户只要打开一次下发策略里所要加密的文件后,系统会自动将文件加密,而现在当员工要将未打开的文件拷贝出去的时候, PYD信息防泄露系统则会智能的将欲拷贝出去的未打开的文件加密,这样就可以保证企业信息安全无懈可击;可选择性的添加自己所需软件实现软件的人性化突破以往信息防泄露系统的下发策略的固定性, PYD信息防泄露系统实现了客户自己通过简单设定即可以自行集成所需软件,去除了企业购买了加密软件却无法加密行业特定软件产生的数据文件的尴尬;多重认证模式扞固管理层操作PYD信息防泄露系统的管理端及解密端和服务器之间需要一对一的认证才可以使用,保证了管理端和解密端的安全性;开启信息防泄露系统的服务器之后,到服务器上去认证所要装管理机的机器的硬件号该硬件号信息PYD信息防泄露系统会自动检测到并显示在管理端界面上,认证完成后就只有该管理端可以使用,同样作为信息防泄露系统中一个很重要的部分解密端也要到管理机上去认证硬件号,这样的一对一认证可以保证管理端和解密端的权威性和安全性;功能介绍率先在同行中实现自定义新增软件功能,该项功能可以使客户购买加密软件后,完全免除今后新上其它软件的后顾之忧,用户可轻松加入对新软件的支持策略;解密权限分级设置,根据企业中不同的密级要求,可以分别设定解密端拥有不同的解密权限;某些部门领导只能解密本部门的数据,而企业高层管理可以解密本公司内的所有数据;双密钥设计,开发商定义一个,客户安装时自定义一个;不同企业间即便同样安装了PYD平台,加密文档无法互相打开;OLE控制拖拽机制的保护,PYD彻底解决了OLE安全问题问题,使数据只能在涉密软件之间互相拖拽复制,而无法从涉密软件向非涉密软件拖拽数据;内核驱动模式,解决保存时员工强制更改扩展名或进程名回避加密系统的漏洞;PYD采用四重架构设计,更有利于维持密钥服务器的安全和稳定;客户端、解密机、管理机和服务器四重架构方式,更有利于企业的部署并能有效的提高服务器的安全性;密钥服务器快速移植功能,您只需简单几个步骤,结合硬件密钥的配合,就可以实现服务器的快速移植,完全不用担心因服务器硬件损坏造成客户端涉密电脑无法正常工作的问题;密钥轮询功能,彻底免除台式机主机被偷或者电脑硬盘被偷造成数据泄密的风险;通过密钥验证策略的下发,使客户端电脑在打开涉密文档时需要定期向密钥服务器去下载验证密钥,如无法下载则客户端将会拒绝打开无法涉密数据;该功能可以有效防范因计算机或磁盘被盗导致的数据外泄;采用NDIS网络中间层通讯处理,占用网络带宽资源更低;详细的日志审核模式,各个部门解密端日志控制台可以集中收集、审计,有效避免各部门私自解密泄漏企业数据;复制防护功能在PYD系统初次部署后,自动对策略规定所需加密类型的数据进行加密,彻底扞卫企业机密;。
NDIS
动程 序和 躁络协议驱 动程序 必须遵 守的设计框 架 。通过 对 N I文档和大量谭程序 的研究和分析 ,我们设 计和开发 了 DS 主要面向个人 的虚拟专 甩网客户蠲驱动程序 ; }
1 DS I驱动程序设计原理I N J I
1 t ̄要特点 .ND S 1
N I定义 了操作系统 用络持翰模块 的一十抽象 环境 , DS 在这 个环境 中 ,各层驱动 程序实律之 问投有 直接的通信机 制 ,它们 之 间的交互全部 由 砌 s 过操柞 系统中 ̄N t ( 通 os Lb ̄N [ 即p i DS 提 供坑一例程和谓用来 实现。N S DI负 责上下层驱动程序之 闻服务原语和实际驱访程序相应调用入
Ma n ) ner。
一
1 D s .N I缓冲区管理 2 网络操作系统对于输 入和输出分组要进行鹱冲 区管理 , 般分为以下几种方案 :太缓冲区方案、链袁方案等 。
大 缓冲 区方案 ,一般根 据系坑 处理 的数据包 的教 学期 望,设定系统能处理的致据包最大长度限制来分配缓冲区大 小, 这样在正常情况下一个缓冲 区容纳一个I据包 。 童 链 表方案 ,每 个缓冲 区大 小固定 , 常情况在 18 到 通 2B l 之间, k B 每十数据包一般都需要 多个链接在一起的缓 冲 区
维普资讯
第2 卷 第2 8 期
p 己8 r 2 。
・
计
算
机
工
程
20 年2 02 月
Fe r a y 2 0 b u r 0 2
2 Leabharlann Co p t rEn i e r n m u e gn e ig
网络与通 信 ・
文章 壤号t1 0- 2(0) —0¨ 0 -3 8 022 1 —∞ 0 4 2 0
NDIS中间层驱动包截获技术解析
NDIS中间层驱动包截获技术摘要:简要概括了NDIS的概念,阐述了NDIS的工作流程,详细说明了如何编写NDIS中间层驱动程序以获得网络封包的详细信息。
并且给出了一些代表性的示例代码,供读者参考。
一.NDIS驱动模型简介NDIS(Network Driver InterfaceSpecification)是网络驱动程序接口规范的简称。
它横跨传输层、网络层和数据链路层,定义了网卡或网卡驱动程序与上层协议驱动程序之间的通信接口规范,屏蔽了底层物理硬件的不同,使上层的协议驱动程序可以和底层任何型号的网卡通信。
NDIS为网络驱动程序创建了一个完整的开发环境,只需调用NDIS 函数,而不用考虑操作系统的内核以及与其他驱动程序的接口问题,从而使得网络驱动程序可以从与操作系统的复杂通讯中分离,极大地方便了网络驱动程序的编写。
另外,利用NDIS的封装特性,可以专注于一层驱动的设计,减少了设计的复杂性,同时易于扩展驱动程序栈。
防火墙的开发一般采用的是中间驱动程序。
通过NDIS中间层驱动,我们可以截获来自网卡的所有原始数据包。
图1则是NDIS中间层驱动的工作过程图图1NDIS中间层驱动程序是工作在MINIPROT和PROTOCOL接口之间的,驱动程序必须向下导出一个PROTOCOL接口,向上导出一个MINIPORT接口。
将自己创建的驱动程序插入到网卡驱动程序与传输驱动程序之间。
如此一来,当下层的网卡驱动程序接收到数据后会通过MINIPORT接口发送到我们导出的PROTOCOL接口上,NDIS中间层驱动程序便接收到了来自网卡的数据并调用我们准备好的回调函数处理数据包信息。
接着NDIS中间层驱动在处理数据包完毕后再继续把数据通过导出的MINIPROT接口向PROTOCOL接口发送。
这样就完成了一个截获数据包的过程。
二.NDIS中间层驱动的工作流程在开始学习NDIS中间层驱动之前,我们有必要了解下NDIS是怎样工作的。
当然这就包括了它的接收数据包的流程了。
NDIS 中间层驱动程序(IMD)开发人员指南ndis_devguide
目录1NDIS中间层驱动程序 (2)1.1NDIS中间层驱动程序(NDIS Intermediate Drivers)概述 (2)1.2NDIS中间层驱动程序的用途 (4)1.3NDIS中间层驱动程序的开发环境 (4)2NDIS中间层驱动程序的开发 (4)2.1可分页和可丢弃代码 (4)2.2共享资源的访问同步 (5)2.3中间层驱动程序的DriverEntry函数 (5)2.3.1注册NDIS中间层驱动程序 (6)2.3.1.1注册中间层驱动程序的Miniport (6)2.3.1.2注册中间层驱动程序的协议 (8)2.4中间层驱动程序的动态绑定 (11)2.4.1打开中间层驱动程序下层的适配器 (12)2.4.2微端口(Miniport)初始化 (12)2.4.3中间层驱动程序查询和设置操作 (13)2.4.3.1发布设置和查询请求 (14)2.4.3.2响应设置和查询请求 (15)2.4.4作为面向连接客户程序注册中间层驱动程序 (15)2.5中间层驱动程序数据包管理 (17)2.5.1.1重用数据包 (18)2.6中间层驱动程序的限制 (19)2.7中间层驱动程序接收数据 (19)2.7.1下边界面向无连接的中间层驱动程序接收数据 (19)2.7.1.1在中间层驱动程序中实现ProtocolReceivePacket处理程序 (20)2.7.1.2在中间层驱动程序中实现ProtocolReceive处理程序 (21)2.7.1.3下边界面向无连接中间层驱动程序接收OOB数据信息 (22)2.7.2下边界面向连接的中间层驱动程序接收数据 (22)2.7.2.1在中间层驱动程序中实现ProtocolCoReceivePacket处理程序 (23)2.7.2.2在下边界面向连接的中间层驱动程序中接收OOB数据信息 (23)2.7.3向高层驱动程序指示接收数据包 (23)2.8通过中间层驱动程序传输数据包 (23)2.8.1传递介质相关信息 (25)2.9处理中间层驱动程序的PnP事件和PM事件 (26)2.9.1处理OID_PNP_XXX查询和设置 (26)2.9.2中间层驱动程序ProtocolPnPEvent处理程序的实现 (27)2.9.3处理规定的电源请求 (28)2.9.3.1睡眠状态的电源设置请求 (28)2.9.3.2工作状态的电源设置请求 (29)2.10中间层驱动程序复位操作 (29)2.11中间层驱动程序拆除绑定操作 (30)2.12中间层驱动程序状态指示 (31)3负载平衡和失效替换 (31)3.1关于LBFO (31)3.2指定对LBFO的支持 (32)3.3在微端口驱动程序上实现LBFO (32)3.3.1初始化微端口束 (33)3.3.2平衡微端口驱动程序的工作量 (33)3.3.3在主微端口失效后提升一个次微端口 (34)4安装网络组件 (34)4.1用于安装网络组件的组件和文件 (34)4.2创建网络INF文件 (35)4.2.1网络INFS文件名的约定 (35)4.2.2网络INF文件的版本节 (35)4.2.3网络INF文件的模型节 (36)4.2.4INF文件的DDInstall节 (37)4.2.5删除节 (38)4.2.6ControlFlags节 (39)4.2.7网络INF文件的add-registry-sections (39)表格 1 缩略语表1NDIS中间层驱动程序1.1 NDIS中间层驱动程序(NDIS Intermediate Drivers)概述微软Windows网络驱动程序接口标准(NDIS 4.0)和Windows NT 4.0(SP3)引入了一种新的NDIS驱动程序,它可以嵌在NDIS 传输驱动程序TDI(如,TCP/IP)和底层的NDIS网络接口驱动程序的中间。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
中图分类号 :T 33 8 P 9. 0
文献标识码:A
文章编号 :10 - 59( 0 1 0 - 0 0 0 07 9 9 2 1 ) 5 0 5- 2
Ne wo k t r Dat c a eI e c ptn c o o y a d a Pa k g nt r e i g Te hn l g n I p e e a to Ba e n NDI nt r e i t y r m lm nt i n s d o S I e m d a eLa e
t eb sd o a a e n NDI n eme it a e o itr e tn t r aa p c e eDe i n d a d i lme t d u d rW i d ws 2 0 / p k S itr dae ly rt n ec p ewo k d t a k g . sg e mp e n e n e n o 0 0 x n
图 1 N l 动程序 结构 示 意图 DS驱 1微端 口驱 动程 序 . 有 两个 基本 功 能 :其一 管理 一个 网络接 口卡 ( I ) NC ,包括通 过 N C收发 数据 ;其 二提供 与 高层 驱动 程序 之 间的接 口,例 如 中 I
Pe g L a g in n in l g a
( i o a i a dT n esyGu a g 5 0 0 ,h a Gu h uR do n V U i ri , i n 5 0 4C i ) z v t y n
Absr c : de h id w sp af m ,l p c e l rng itr e tn eho ,a e n he a l sso ro s meho st t a tUn rt e w n o ltor al a k tf ti n e c p ig m t dsb s d o t nay i fva u t d , i e i o
plto m ew ok a k t ne c pt n o e sn af r n t r p c e tr e i a dpr c sig. i ng
Ke wor : I e e it rve ; c a efle n N e o kpa ke y dsND Si r d aed ntm i rPa k g tr g; t r c t i i w
操 作系 统下 网络 封包 的拦 截技 术 的实现 。在 网络封 包拦 截 的基础 上 ,可 以实 现数 据包 的过 滤 与处 理 。数据 包过 滤是 指在 网络层 对 数 据包 实施 有选择 的通过 ,依 据 系统 事先 设定 好 的过滤 逻辑 ,检 查 数据 流 中的每 个数 据包 ,根 据数 据包 源地 址 、 目的地 址 ,所 使 用 的端 口号 ,协议 状态 等对 数据 进 行过 滤 。
计算 机光盘 软 件 与应 用
工 程 技 术 C m u e D S fw r n p lc to s o p t rC o t a e a dA p i a i n 2 1 年 第 5期 01
基于 N I D S中问层的网络数据包拦截技术及实现
彭 亮 亮 ( 州 广播 电视 大 学 ,贵 阳 贵 摘
5 00 ) 504
要 :分析 了 wi o s 台下各种 包拦 截过 滤 的方 法 ,在 分析 各种 方 法的基 础 上 ,采取基 于 ND S中间层 来拦 截 网 n w 平 d I
络 数据 包。设计 并 实现 了 Wid w 00x no s 0/p平 台下 的 网络 数据 包的拦 截 与处 理 。 2
本文 采取 在 N I D S中间层 拦截 和 过滤数 据 包 , 为在 此层 , 因 无
论 是 网卡接 收并 上传 的数 据封 包 ,还是 上层 要 下送 至 网卡发 送 的
数据 封包 ,无 一例 外地 要 经过 这里 。所 以,它 能够截 获所 有 的 网 络数 据包 。在 此基 础上 ,可 以根据 帧头 和报 头 分析 协议类 型 ,进 而 可 以拒 绝截 获到 的任 意类 型 的网络 数据 包 。
起 严 重 的后 果 。 为 了增 强 网络 的 安全 性 ,人 们 通 常在 Itr e n en t 与局域 网之 间 引入 防火墙 。
由于 W n o s 2 0 / p是 目前 广泛 应用 的操 作系 统 ,使得 在 i dw 00 x W n o s 2 0 / p 下 保 障网络 安全 通信 成 为一 个迫 切 需要解 决 的 idw 0 0x 问题 。 基于 Wn o s 台下 的网络 安全 产 品基本 上是 基于 W no s idw 平 idw
一
、
引言
N I 支持 三种 网络 驱动 程序 :N I 微端 口驱 动程 序 ,N I DS DS DS 中间层 驱动 程序 ,N I DS传输 协 议驱动 程序 。并且 在 网络驱动 程序 之 间指 定 了标准 接 口,如 图 1 所示 :
随着 计算机 网络技 术的 快速 发展和 I tre /n rn t技术 ne n tI ta e
Байду номын сангаас
日益 深入 的应 用 , 以及 许 多新 的 网络 服 务的 出现 ,计 算机 网络 与
人类 的生产 ,生活 ,科 学技 术 与文化 事业 密 不可 分 ,使得 人们 的 工作和 生 活发 生 了巨大 的变 化 ;与此 同时也给 人 们带 来 了一个 十
分 严 峻的 问题— — 网络 安全 。一 旦 网络 安全 问题 发生 ,通 常会 引
二 、N l D S中间层驱 动程 序设 计 ( )N I 简 介 一 DS NI D S是微 软 公司和 3 O C M于 1 8 年 合作 开发 的 ,是 基于 X 6 99 8 平 台操 作 系统 开发 网卡 驱动 程序 必 须遵 守 的设计框 架 。其 主要 目
l : 【 : : : : 三 l J