编写NDIS驱动,完全控制网卡收发报文

在windows上面,利用网卡做自定义报文的收发,Winpcap是唯一选择,目前自己编写驱动来实现相关功能的基本找不到。

 

Winpcap对于接收的报文只是复制,并不阻断报文向操作系统提交,因此还是影响了操作系统,导致操作系统时不时的发出一些报文来,而这些报文又可能会干扰我们的测试过程,为了突破这个限制,我重新实现了相关的驱动,做到了以下几个功能:

 

1  和Winpcap一样出色的报文接收和发送功能。函数接口类似,原来的代码不用大修改。

2  接收后的报文不会转交到操作系统。

3  操作系统发出的报文会被无情的丢弃。

4  应用层所有功能封装成一个DLL,直接控制某个网卡调用相关接口函数即可。

5  应用层收到的数据也能够保存为pcap文件格式,这样便于使用wireshark来分析报文。

6  带接收缓冲功能,防止应用层处理不及时而造成丢包。

 

通过这个驱动,被我们控制的网卡相当于从操作系统中脱离,完全被我们控制,这就成了一个收发包的设备了,可以用于报文测试模拟了,而软件模拟的成本比硬件成本低很多,如果我们实现了一个比较好的软件,那么可以节省很多购买测试设备的钱。华为的Tesgine都是可以被部分替换的。当然,软件开发的成本也不小,需要对各种报文有经验的开发人员,另外,网卡的吞吐率只有1G,和仪器设备无法比,需要多个网卡的配合。但还是有很多这方面的需求的。

 

我们编写自定义驱动,当然不需要重头开始,windows的DDK中已经提供了样例,其中,windowsXP版本,可以看WinDDK\7600.16385.1\src\network\ndis\passthru这个例子,采用NDIS5,如果是Win7的话,需要采用WinDDK\7600.16385.1\src\network\ndis\filter这个例子,这是基于NDIS6的。在没有NDIS开发经验之前,这几个例子都相当的难懂,在有了经验之后,发现这又是情理之中的代码,一步一步按照微软的驱动往下走即可。这两个例子,都提供了报文阻断的实现,但没有提供和应用层交互的代码,也没有实现发送报文的代码,因此,需要在这两个例子上,扩充出OpenFile,ReadFile,WriteFile,DeviceIOControl等相关的功能,并做好数据的缓冲拷贝机制。对于这部分代码,可以参考winpcap的驱动实现过程。

 

由于代码算公司的成果,这里就不贴出来了。

你可能感兴趣的:(技术)