在分析介紹Windows 2000/xp 平臺的NDIS 驅(qū)動程序的基礎(chǔ)上，提出了一種使用NDIS
中間層驅(qū)動程序?qū)崿F(xiàn)包過濾的方法。應(yīng)用該方法能攔截所有進出計算機的網(wǎng)絡(luò)數(shù)據(jù)包、根據(jù)應(yīng)用策略處理數(shù)據(jù)、轉(zhuǎn)發(fā)數(shù)據(jù)包。實際的測試證明，該方法可有效提高處理網(wǎng)絡(luò)數(shù)據(jù)的效率。
關(guān)鍵詞： NDIS 中間層;方法;網(wǎng)絡(luò)封包;過濾
當(dāng)今計算機網(wǎng)絡(luò)的應(yīng)用已經(jīng)非常普及，同時Windows 2000/xp 網(wǎng)絡(luò)操作系統(tǒng)的廣泛應(yīng)用，使得在Windows 2000/xp 下保障網(wǎng)絡(luò)通信安全成為一個迫切需要解決的問題。
防火墻技術(shù)是訪問控制的核心技術(shù)，是網(wǎng)絡(luò)安全防護的一個首要的安全手段。在防火墻
技術(shù)中，最重要也是最基本的就是網(wǎng)絡(luò)封包的截獲技術(shù)。然而，在網(wǎng)卡上，并不是所有協(xié)議類型的包都會傳送到頂層即應(yīng)用層，一些協(xié)議類型的包在傳輸層就終止上傳了。這樣，在應(yīng)用層或傳輸層截獲網(wǎng)絡(luò)封包不能截獲所有的包(比如基于ICMP 協(xié)議的包)，所以基于應(yīng)用層或傳輸層的防火墻也就難以防止基于UDP 協(xié)議或基于ICMP 協(xié)議的攻擊，如Ping 攻擊、ICMP 洪流攻擊等。基于NDIS(Network Driver Interface Specification，即網(wǎng)絡(luò)驅(qū)動接口規(guī)范)中間層截獲的網(wǎng)絡(luò)封包，可以截獲完整的幀，或者說可以截獲所有流過網(wǎng)卡的封包，在此基礎(chǔ)上，可以根據(jù)幀頭和報頭分析協(xié)議類型，進而可以拒絕截獲到的任意協(xié)議類型的封包。
Windows 網(wǎng)絡(luò)驅(qū)動程序接口規(guī)范(NDIS)提供了標(biāo)準(zhǔn)的開發(fā)接口，可以在網(wǎng)絡(luò)層處理數(shù)
據(jù)。本文利用微軟的DDK(Device Driver Kit)進行NDIS 中間驅(qū)動程序編程，實現(xiàn)了基于NDIS中間層的數(shù)據(jù)包截獲及分析處理。同時在開發(fā)過程中為提高系統(tǒng)性能提出了新的方法，其方法可以作為類似開發(fā)的參考。