《基于IMD的滤防火墙原理与实现.doc》由会员分享,可在线阅读,更多相关《基于IMD的滤防火墙原理与实现.doc(7页珍藏版)》请在金锄头文库上搜索。
1、基于IMD的包过滤防火墙原理与实现创建时间:2003-07-13文章属性:原创文章提交:xiaobai (xiaobai_at_)基于IMD的包过滤防火墙原理与实现711网络安全小组http:/一、前言二、IMD中间层技术介绍三、passthru例程分析四、部分演示代码五、驱动编译与安装六. 总结一、前言前段时间,在安全焦点上看到了TOo2y朋友写的基于SPI的数据报过滤原理与实现,很是不错。文章中提到的基于SPI的数据报拦截技术是在用户级的。用户级的拦截有其优势,实现方便、便于移植、通用性强,但是,用户级并不能得到所有的数据报。本文提到的基于IMD的数据报过滤则是属于内核级的,它建立在网络驱
2、动上面。其实两个月前就想写这篇文章了,可惜这个技术是我一年前做的,好久不用,已经忘的差不多了,所以一直没有写。不过,近来正巧有个课题,牵扯到了中间层驱动。于是,重新拾起丢了有一年的DDK,啃了起来。这期间,真的要非常感谢linxder的帮忙,让我少走了一些弯路,否则,我真的要从头学起了。废话不多说了,切入正题。二、中间层驱动技术介绍中间层驱动,英文为NDIS intermediate driver。1)内核级网络驱动介绍Microsoft Windows 2000支持三种基本的内核级网络驱动,这三层driver顺序从下到上依次为:1. Miniport NIC drivers:微端口网卡驱动,
3、位于最底层,直接操纵网卡并且对高层驱动提供接口。2. Intermediate drivers:IMD中间层驱动,这就是今天的主角,位于1和3之间,具体的作用下面就会介绍。3. Protocol drivers:高层协议驱动,俗称为TDI(传输驱动程序接口),高于前面两层,直接面向用户级, 为用户提供网络服务,也就是绝大多数程序所用到的网络接口。2)IMD驱动 IMD中间层,它的实质很简单,最经典的描述莫过于下面的话:An intermediate driver is typically layered over one or more NDIS NIC drivers and under a
4、 transport driver (possibly multilayered) that supports TDI at its upper edge.An NDIS intermediate driver exports MiniportXxx functions at its upper edge and ProtocolXxx functions at its lower edge.(见DDK文档)中间层插入网卡和协议层之间,对上面的协议层表现为一个虚拟的微端口网卡结构,而对下面的网卡则表现为一个协议层的结构。所以,无论是网卡接收并上传的数据报,还是上层要下送至网卡发送的数据报,无一
5、例外地要经过中间层。3)IMD包过滤技术前面我们已经看到,所有的数据报都要经过中间层,所以,我们可以在中间层加入我们想要过滤的数据报的特征,实现基于中间层驱动的内核级包过滤。这样做的优势非常明显,首先,在驱动级别上做过滤,无须组包,速度快,效率自然就高;其次,所有的数据报无一例外,只要网卡上传的数据报均可以截获,避免了用户级无法得到所有数据报的缺点。当然,世界上没有完美的事情。IMD包过滤技术也存在其不可避免的缺点,与操作系统版本关系密切,与硬件联系大,可移植性低。我在调试这个驱动的时候,就碰到了无数次蓝屏,无数次重启动,进了几次安全模式,甚至还为此重新安装了一次系统。正是由于上面的一些问题,
6、现在市面上还没有见到有厂家推出基于IMD的实用型防火墙,大部分都是在实验室中的作品,或许真的是要做到通用性很难吧,不过还是希望能尽快见到这样的产品面世。三、passthru代码分析到这里,你或许已经非常想看看到底怎么来实现基于IMD的包过滤防火墙了,不过,你肯定会迟疑,如果让我们自己写整个中间层驱动的话,是不是有些太艰难了啊?况且,我只是个搞网络安全的,我不是专门写驱动的,让我完成一个驱动程序,还要对上层协议伪装成一个网卡,对下层伪装成一个协议层,这不是要命么?呵呵,其实微软很不错的,在提出这项技术之后,其DDK中附带了一个中间层驱动的例程,就是passthru。passthru实现了一个中间
7、层的基本功能,对下表现为一个协议层的驱动,对上表现为一个虚拟网卡,安装passthru驱动之后,你可以在硬件管理中的网卡中看到一个虚拟网卡。不过,passthru只是插入到网卡和上层协议中间,却未做任何工作,也就是说,passthru只是让所有的数据报原原本本地流经自己而已。我们要想实现中间层包过滤的功能,需要对passthru进行修改。想想我们要实现的包过滤的功能,我们只需要在中间层接收到数据报的时候进行规则判断就可以了,而在passthru中,接收数据报是用protocol.c文件中的PtReceive和PtReceivePacket这两个函数来实现的。根据微软的解释,微软建议接收包用Pt
8、ReceivePacket函数,因为可以得到更高的效率,然而,为了向下兼容,也保留了PtReceive函数给老的网卡使用。所以,在一块网卡上,只可能有一个函数在工作,这要取决于你的网卡型号了。巧的是,我的两台机器的网卡应用的函数正巧不一样。同样是IBM的机器,一台P4 1.5G的机器的网卡是Realtek RTL8139(A) PCI Fast Ethernet Adapter,另外一台P4 2.0G的机器的网卡是Intel(R) PRO/100 VE Network Connection,其中Realtek网卡用的是PtReceive来接包,而Intel的网卡是用PtReceivePacke
9、t来接包。现在我们知道了哪个函数负责接收数据报,那么我们就可以对这个函数进行修改了。从兼容和通用性考虑,我们需要对PtReceive和PtReceivePacket函数进行修改,其中加上我们需要判断的规则进行过滤,下面就贴详细的代码了。四、部分演示代码我们的目的是在调用接受数据报函数的时候能执行我们的过滤代码,所以,我们要在函数代码中添加我们自己的代码,下面用过滤特定协议类型的数据报来做演示。首先修改PtReceive,看一下protocol.c文件中函数的代码,代码中用NdisGetReceivedPacket函数得到一个PNDIS_PACKET的结构Packet,数据报内容就存放在这个结构
10、中的链表内。我们定义一个PUCHAR结构的pPacketContent,然后用下面的代码获得整个数据报的内容:/-intPacketSize;PUCHARpPacketContent;PUCHARpBuf;UINT BufLength;MDL* pNext;UINT i;/把数据包内容从Packet拷贝到pPacketContentNdisQueryPacket( Packet,NULL,NULL,NULL,&PacketSize);Status= NdisAllocateMemory( &pPacketContent, 2000, 0,HighestAcceptableMax);if (St
11、atus!=NDIS_STATUS_SUCCESS ) return Status;NdisZeroMemory (pPacketContent, 2000);NdisQueryBufferSafe(Packet-Private.Head, &pBuf, &BufLength, 32 );NdisMoveMemory(pPacketContent, pBuf, BufLength);i = BufLength;pNext = Packet-Private.Head;for(;)if(pNext = Packet-Private.Tail)break;pNext = pNext-Next; /指
12、针后移if(pNext = NULL) break;NdisQueryBufferSafe(pNext,&pBuf,&BufLength,32);NdisMoveMemory(pPacketContent+i,pBuf,BufLength);i+=BufLength;/数据拷贝完毕/-现在,我们已经在PtReceive函数中得到了数据报的内容,存放在pPacketContent中,数据报的格式你可以去查书。通常,在以太网中,得到的数据报大致是如下结构,以太帧头14个字节,放在pPacketContent0到pPacketContent13中,其中前六个字节是目的MAC地址,然后六个字节源MAC
13、地址,然后两个字节是协议类型,通常的协议类型有0x08 0x00 -IP,0x08 0x06 -ARP,0x08 0x35 -RARP,所以,可以通过pPacketContent12和pPacketContent13来判断协议类型。如果是IP包,然后pPacketContent中存放的是IP头,根据IP头的格式,可以得到第23个字节pPacketContent23表示传输层协议:1 -ICMP,2 -IGMP,6 -TCP,17 -UDP,剩下的就是数据报内容了。因为我们只是做演示,所以只要知道这几个标志性的就好了,其他的你可以根据你的需要扩展。我们通过pPacketContent中的内容可以做些规则,比如过滤ICMP包,我们只要比较pPacketContent12和pPacketContent13还有pPacketContent23这三个标志位就可以了,如果不是ICMP包,那么不做任何工作,如果匹配了,那就返回一个NDIS_STATUS_NOT_ACCEPTED,将包丢弃,释放pPacketContent,就可以过滤ICMP包了,
