使用NDIS驱动监测以太网络活动

转载自: http://blog.csdn.net/ddtpower/article/details/656687
 
本论文提供了NDIS的基本的理解,应用程序如何与驱动程序交互,发挥驱动程序最佳性能。本论文也说明了使用例子驱动(PACKET.SYS)监测以太网的应用程序。本论文不是帮助程序员开发网络驱动而是帮助他使用这样的驱动。
 
引言
       从计算机被发明以来,对大多数编程人员来说,编写设备驱动都是令人着迷的。开发驱动是为了满足特定应用的需要。这个目的导致大量不同种类的驱动被开发出来,例如打印机驱动,文件系统驱动等。此外,特定的应用与特定种类的驱动相对应。随着Internet的到来,编写网络驱动成为驱动开发的核心。 为帮助开发网络设备驱动,微软为Windows NT操作系统开发了网络设备接口规范(NDIS)库
1、简介
1、1 什么是设备驱动
设备驱动是操作系统和输入输出设备间的粘合剂。驱动负责将操作系统的请求传输,转化为特定物理设备控制器能够理解的命令。
1、2 什么是网络接口卡
       网络接口卡(NIC)是一个物理设备,类似于网关,通过它,网络中的任何设备都可以发送和接收数据帧。不同网络中,网络接口卡的名称是不同的。例如,以太网中称为以太网接口卡,令牌环网中称为令牌环网接口卡,等等。
 
 
1、3 什么是网络驱动接口规范(NDIS
       网络驱动接口规范描述了一个接口,通过这个接口,一个或多个NIC驱动可以与一个或多个覆盖在其上的 协议驱动和操作系统通信。NDIS为网络驱动开发提供了完整的抽象。对所有外部功能来说,NIC驱动都依赖于NDIS,这些功能包括 与协议驱动的通信,注册,截获NIC硬件中断,与下层的NIC的通信
1、4 为什么需要NDIS
       NDIS库(NDIS.SYS)为NIC驱动的编写提供了完整的抽象接口。库输出所有可以在NIC驱动开发中使用的NT内核模式函数。这个库负责响应所有下层NIC驱动特定的任务,保持绑定和状态信息。
2、特点与使用
2、1基本特征
l        单NIC驱动
l        NDIS库
l        均衡处理器支持
l        多协议驱动支持
l        管理
l        发送类型
l        操作标志
l        全双工操作
l        ARCNET和WAN支持
2、2 驱动类型
       Windows NT支持三种类型的驱动:
l        网络接口卡驱动(NIC)
l        中间协议驱动
l        上层协议驱动
 
2、2、1 网络接口卡驱动
NIC驱动管理网络接口卡(NIC)。NIC驱动接口在下边界直接控制硬件(NIC),在上边界提供上层驱动访问的接口:
l        发送和接收包
l        重置NIC(Reset)
l        停止NIC
l        查询NIC
l        设置NIC操作特性
NIC驱动的两种类型
l         微端口驱动:微端口驱动应用于管理NIC硬件特殊操作,包括在NIC上发送和接收数据。微端口驱动不能直接呼叫系统例程,只能呼叫NDIS提供的函数。
l         完全NIC驱动:完全NIC驱动不仅管理硬件而且管理NDIS完成的的操作系统特定任务。完全NIC驱动必须保持接收数据的绑定信息。
2、2、2 中间协议驱动
       中间协议驱动接口位于上层协议驱动和微端口驱动之间。对于上层传输驱动程序来书,中间驱动看起来像是微端口驱动。对微端口驱动来说,看起来像是协议驱动。使用中间协议驱动的主要是为了传输媒质,存在于对于传输驱动未知和微端口管理之间的新的媒质类型。
2、2、3 上层协议驱动
       上层协议驱动应用于TDI接口或其它向用户提供服务的特定应用接口。例如 驱动调用NDIS分配包,向包中烤贝数据和向底层发送包。它也在它的底层提供协议接口,来接收下层驱动发送来的包
2、3 应用程序和驱动的交互
       在Windows NT下的所有驱动必须具有DriverEntry函数,作为驱动的进入点。驱动中其它的函数是通过DriverEntry函数声明的。应用程序调用函数如CreateFile,ReadFile等,会由NT I/O管理器生成相应IRP(输入/输出请求包)。
在NT下,几乎所有I/O操作都是包驱动的。每个I/O操作由工作顺序来描述,工作顺序告诉驱动做什么和通过I/O子系统追踪请求的过程。这些工作顺序通过一个称为I/O请求包(IRP)的数据结构的形式给出。 这个IRP为完成特定操作按顺序调用驱动中的进入点
 
3、在以太网中使用NDIS监测数据包 
              本节以一个NDIS驱动例子说明监测以太网。
              Packet 监测捕获在局域网中传输的的所有包。这是由以太网的广播特性决定的。通过以太网发送的包是向网络中所有计算机广播的。每台计算机上的以太网卡检查每个包的目的是否是它自己,如果是则接收,不是则拒绝。利用这个基本的功能来捕获网络中传输的所有数据包。 以太网卡可以被设置工作于好几种模式,可以设置于期望中的捕获数据包的模式。一个这样的可以工作于期望的例子驱动程序PACKET.SYS来自微软Windows NT 设备开发工具(DDK)。
3、1 以太网接口卡的模式
       以太网接口卡可以被设置的模式如下:
l        广播
l        多播
l        直接
l        混杂
       广播:数据帧可以发向网络中所有计算机, 这种帧的目的地址是0xffffff,也称为帧的广播地址。任何设置为广播模式的网卡都接收目的地址为广播地址的数据帧。通常所有的网卡被配置为接收广播帧。
       多播:发往一组计算机的帧称为多播帧, 使用特定的多播地址作为目的地址。这些计算机的组构成了多播组。这样,多播组里的任何一个成员计算机将会接收具有多播目的地址的帧。尽管网卡可以不是一个多播组里成员,但可以配置为多播模式,这样就可以接收所有多播帧。
       直接发往特定计算机的帧具有特定计算机的物理地址(以太网地址)的目的地址。具有特定物理地址的计算机将接收特定的帧,丢弃其它的帧。网卡可以设置为仅仅接收直接帧。
       混杂:设置为这个模式的网卡接收所有收到的数据包。这个模式具有的以太网的广播特性是包监测应用程序的关键。
       PACKET.SYS例子驱动可以将网卡设置为以上提到的模式。 应用可以利用PACKET.SYS将网卡设置为混杂模式,以便于捕获网络中传输的所有数据包
3、2 关于例子驱动PACKET.SYS
       例子PACKET.SYS来自NT DDK。这个驱动可以将网卡设置为任何期望的模式,并且允许应用程序通过网络发送和接收数据包。除驱动程序的sys文件之外,还提供了一个DLL(PACKET32.DLL),通过此DLL应用程序可以和驱动程序通信。
3、2、1应用程序如何同PACKET.SYS通信
应用程序调用DLL中的函数,这些函数依次调用PACKET.SYS驱动中的进入点。驱动程序利用NDIS.SYS输出函数与网络接口卡通信。
 
 
3、2、2 如何在应用程序中使用PACKET32.DLL
应用程序使用驱动读取所有到达NIC的数据包。以下示例说明了这个过程。
在上述过程中使用的结构体定义如下:
 
typedef struct _ADAPTER 
{ 
	HANDLE     hFile;								// 保存由CreateFile方法返回的句柄
	TCHAR      SymbolicLink[MAX_LINK_NAME_LENGTH];	// 保存驱动的符号链接名
} ADAPTER, *LPADAPTER;

typedef struct _PACKET 
{
	HANDLE       hEvent;	// 保存和适配器对象相应的事件句柄
	OVERLAPPED   OverLapped;// 包含异步输入输出信息的OVERLAPPED结构
	PVOID        Buffer;	// 包含发送和接收数据的缓冲区
	UINT         Length;	// 缓冲区长度
} PACKET, *LPPACKET;

typedef struct _CONTROL_BLOCK 
{
    LPADAPTER   hFile;				// 指向适配器对象的指针
    HANDLE      hEvent;				// 保存事件句柄   
    // Name of the driver as registered in the registry.
    TCHAR       AdapterName[64];	// 注册表中注册的驱动名         
    HANDLE      hMem;				// 保存接收数据包的缓冲区
    LPBYTE      lpMem;
    HGLOBAL     hMem2;				//  保存发送数据包的缓冲区
    LPBYTE      lpMem2;        
	ULONG       PacketLength;		// 包长度 
	ULONG       LastReadSize;		// 最后读取的包大小   
	UINT        BufferSize;			// 缓冲区长度
} CONTROL_BLOCK, *PCONTROL_BLOCK;

 应用程序开始
 
CONTROL_BLOCK cbAdapter; 
ULONG NameLength=64;

// 得到驱动在注册表中注册的名字
PacketGetAdapterNames(CbAdapter.AdapterName,&NameLength);

CbAdapter.BufferSize=1514; // 保留1514字节,最大帧长度
 
// 分配并锁定内存缓冲区用于发送和接收数据包
CbAdapter.hMem=GlobalAlloc(GPTR, 1514); 
CbAdapter.lpMem=(LPBYTE)GlobalLock(CbAdapter.hMem);
CbAdapter.hMem2=GlobalAlloc(GPTR,1514);
CbAdapter.lpMem2=(LPBYTE)GlobalLock(CbAdapter.hMem2);
 
// 打开优先的适配器用于接收数据,
// 函数依次调用CreateFile方法,调用驱动程序中相应的进入点。为随后的读写操作打开适配器
CbAdapter.hFile=(ADAPTER*)PacketOpenAdapter(CbAdapter.AdapterName);
 
// 打开适配器域
if (CbAdapter.hFile = = NULL) 
{
	AfxMessageBox("Open Adapter failed");
}
 

// 此Packet对象用于从网络上接收所有数据的包
PVOID Packet;
// 设置过滤条件为混杂(非选择)模式
// 此函数依次呼叫DeviceIoControl方法,用来设置网卡工作于期望的模式。
Filter = NDIS_PACKET_TYPE_PROMISCUOUS;
 
// 设置网卡为混杂模式
PacketSetFilter(CbAdapter.hFile, Filter);
 
// 分配缓冲区用于接收数据包
Packet=PacketAllocatePacket(CbAdapter.hFile);
 
// 初始化接收数据包缓冲区
if(Packet != NULL)
{
	PacketInitPacket((PACKET *)Packet,(char *)pdData[nCurrentWriteLocation].pData,1514);

	// 从驱动中读取数据包
	// 此函数依次调用ReadFile方法来读取通过EIC从网络上收到的数据
	PacketReceivePacket(CbAdapter.hFile,(PACKET *)Packet,TRUE,&pdData[nCurrentWriteLocation].nPacketLength ); 

上述插入代码描述了应用程序如何使用 PACKET.SYS驱动设置以太网接口卡为混杂模式,用来捕获所有网络上的数据包
 
以上代码清晰的描述了应用程序利用例子驱动PACKET.SYS将EIC设置为期望的模式,发送和接收数据包。
3、2、3 应用程序中使用的在Packet32.dll中定义的函数如下:
下面的函数PacketGetAdapterNames返回注册表中注册的驱动名
ULONG
PacketGetAdapterNames(
    PTSTR   pStr,
    PULONG BufferSize
   )
{
    HKEY       SystemKey;
    HKEY       ControlSetKey;
    HKEY       ServicesKey;
    HKEY       NdisPerfKey;
    HKEY       LinkageKey;
    LONG       Status;
    DWORD      RegType;
    // Open the Key HKEY_LOCAL_MACHINE,打开HKEY_LOCAL_MACHINE键值
    Status=RegOpenKeyEx(
               HKEY_LOCAL_MACHINE,
               TEXT("SYSTEM"),
               0,
               KEY_READ,
               &SystemKey
               );
    if (Status == ERROR_SUCCESS) {
       // Open the key currentcontrolset 打开currentcontrolset键值
        Status=RegOpenKeyEx(
                   SystemKey,
                   TEXT("CurrentControlSet"),
                   0,
                   KEY_READ,
                   &ControlSetKey
                   );
        if (Status == ERROR_SUCCESS) {
            // Open the key Services打开Services键值
            Status=RegOpenKeyEx(
                       ControlSetKey,
                       TEXT("Services"),
                       0,
                       KEY_READ,
                       &ServicesKey
                       );
            if (Status == ERROR_SUCCESS) {
        // Open the key Packet. 打开Packet键值
        Status=RegOpenKeyEx(
                           ServicesKey,
                           TEXT("Packet"),
                           0,
                           KEY_READ,
                           &NdisPerfKey
                           );
                if (Status == ERROR_SUCCESS) {
            // Open the key Linkage.打开Linkage键值
                    Status=RegOpenKeyEx(
                               NdisPerfKey,
                               TEXT("Linkage"),
                               0,
                               KEY_READ,
                               &LinkageKey
                               );
                    if (Status == ERROR_SUCCESS) {
                   // Open the key Export.      
                        Status=RegQueryValueEx(
                                   LinkageKey,
                                   TEXT("Export"),
                                   NULL,
                                   &RegType,
                                   (LPBYTE)pStr,
                                   BufferSize
                                   );
             // Close all the keys that have been opened so far.关闭已打开的所有键值
                        RegCloseKey(LinkageKey);
                    }
                    RegCloseKey(NdisPerfKey);
                }
                RegCloseKey(ServicesKey);
            }
            RegCloseKey(ControlSetKey);
        }
        RegCloseKey(SystemKey);
    }
    return Status;
}

 
PVOID PacketOpenAdapter(LPTSTR   AdapterName)
{
	LPADAPTER lpAdapter;
	BOOLEAN    Result;
	 
	ODS("Packet32: PacketOpenAdapter/n");

	// 为适配器对象分配全局内存
	lpAdapter=(LPADAPTER)GlobalAllocPtr(GMEM_MOVEABLE | GMEM_ZEROINIT,sizeof(ADAPTER));
	if (lpAdapter==NULL) 
	{
		 ODS("Packet32: PacketOpenAdapter GlobalAlloc Failed/n");
		 return NULL;
	}
 
	//  将名字拷贝到符号链接名
	wsprintf(lpAdapter->SymbolicLink, TEXT("////.//%s%s"), DOSNAMEPREFIX, &AdapterName[8] );
 
	// Defines an MS-DOS name for the device.
	Result=DefineDosDevice(DDD_RAW_TARGET_PATH,&lpAdapter->SymbolicLink[4], AdapterName);
 
	if (Result) 
	{
		// Creates and returns a file handle for the specified device. 为特定设备创建并返回文件句柄
		lpAdapter->hFile=CreateFile(lpAdapter->SymbolicLink,GENERIC_WRITE | GENERIC_READ,0,NULL,CREATE_ALWAYS,FILE_FLAG_OVERLAPPED,0);
 
		if (lpAdapter->hFile != INVALID_HANDLE_VALUE) 
		{
			return lpAdapter;
		}
	}
	ODS("Packet32: PacketOpenAdapter Could not open adapter /n");
 
	GlobalFreePtr(lpAdapter );
	return NULL;
 }   

函数PacketOpenAdapter为设备定义了一个新的DOS设备名,调用CreaetFile方法来创建并打开通信设备,得到指向设备的句柄。应用程序预先调用此函数来发送和接收数据包。CreateFile方法 调用驱动中指定为IRP_MJ_CREATE的进入点,此进入点调用NDIS库,输出NdisOpenAdapter函数打开适配器
 
以下的 函数PacketAllocatePacket为packet对象分配内存,调用CreateEvent函数来建立特定文件句柄的事件
PVOID PacketAllocatePacket(LPADAPTER   AdapterObject)
{
	LPPACKET    lpPacket;
    //  为Packet对象分配内存
    lpPacket=(LPPACKET)GlobalAllocPtr(GMEM_MOVEABLE | GMEM_ZEROINIT,sizeof(PACKET));
    if (lpPacket==NULL) 
	{
        ODS("Packet32: PacketAllocateSendPacket: GlobalAlloc Failed/n");
        return NULL;
    }
    // 操作结束时建立事件对象 
    lpPacket->OverLapped.hEvent=CreateEvent( NULL,FALSE,FALSE, NULL);
    if (lpPacket->OverLapped.hEvent==NULL)
	{
        ODS("Packet32: PacketAllocateSendPacket: CreateEvent Failed/n");
        GlobalFreePtr(lpPacket);
        return NULL;
    }
    return lpPacket;
}

PacketInitPacket函数设置packet对象缓冲区
VOID PacketInitPacket(LPPACKET    lpPacket,PVOID       Buffer,UINT        Length)
{
    // 设置packet对象缓冲区到缓冲区
    lpPacket->Buffer=Buffer;
	// 设置packet对象缓冲区长度到缓冲区长度
    lpPacket->Length=Length;
}

PacketReceivePacket函数调用驱动中适当的进入点来读取网络中获得的数据包,放入声明的缓冲区。ReadFile方法使用在CreateFile方法中获得的句柄来完成此操作。
BOOLEAN PacketReceivePacket(LPADAPTER AdapterObject,LPPACKET lpPacket,BOOLEAN Sync,PULONG BytesReceived)
{
    BOOLEAN      Result; 
	// 设置偏移量为0
    lpPacket->OverLapped.Offset=0;
    lpPacket->OverLapped.OffsetHigh=0;
    if (!ResetEvent(lpPacket->OverLapped.hEvent)) 
	{
        return FALSE;
    }
    // 调用ReadFile来读取数据包
    Result=ReadFile(AdapterObject->hFile,lpPacket->Buffer, lpPacket->Length, BytesReceived, &lpPacket->OverLapped);
    if (Sync) 
	{
        // They want to wait
        Result=GetOverlappedResult(AdapterObject->hFile,&lpPacket->OverLapped,BytesReceived, TRUE );
    }
    else
	{
        // They don't want to wait, they will call PacketWaitPacket to get
        // The real result
        //不等待,调用PacketWaitPacket得到真实值
        Result = TRUE;
    }
    return Result;
}

使用驱动PACKET.SYS监测有许多例程是有用的。注意,没有提供更多的应用细节。
本节仅仅说明了使用NDIS例子驱动PACKET.SYS监控所有网络动作的应用程序如何编写。
 
4、如何识别HTTP请求
       上节描述了怎样从以太网中捕获所有的数据包。我们的意图是不仅仅捕获所有数据包,并且监控网络上的Internet活动,这意味着 我们应该识别携带HTTP请求的数据包。这需要 以太网帧结构和IP本节描述了TCP/IP包的标识,HTTP请求的标识,帧中的URL信息的获取
 
4、1  网络数据流
       为了在分层的网络中传输数据,从应用程序传输数据到协议栈中中相应的协议。之后,此协议处理完数据之后,将数据传向栈中的下一个协议。在数据穿越每一层协议的同时,协议栈上相应协议为了栈中下一层协议,将数据封装起来。因此, 封装就是一个将数据存储成协议栈中更低层协议要求的格式的过程
因此,我们可以看出,应用程序模块封装从用户应用消息传来的数据;TCP模块封装应用数据,增加TCP头并且发往下一层;当数据传向网络栈中IP模块时,IP模块将TCP段格式化为IP报文或称为包;以太网驱动将IP模块传来的数据格式化并将数据放入以太网帧中。
这就解释了帧中如何封装IP报文,IP包如何封装TCP/UDP数据。为了识别HTTP请求, 首先,我们应该识别包为TCP/IP包,然后检查此包是否是TCP包,最后识别此包是否HTTP请求
 
4、2 识别TCP/IP
为识别一个数据包是TCP/IP包,我们应该首先看看以太网的帧结构。
以太网的帧数据包含了14字节头
       以太网帧头的域是:
l        目的地址(6字节)
l        源地址(6字节)
l        帧类型(2字节)
       就像名字的含义,目的地址域说明了以太网帧的目的。类似的,源地址说明了帧的源。帧的类型域是我们关心的。这个域标识了帧的协议。
       如果包是有效的IP包,则帧类型域(第13和第14字节)将会是080016
 
 
 
4、3 识别TCP
       识别了TCP/IP包之后,下一个任务是识别出包是否是TCP包或其他包。 因为HTTP请求仅仅通过TCP请求来传输,所以我们可以忽略其他包。为确定包是否是一个TCP包,我们 必须分析IP头。IP头如下所示:
IP头的重要域是:
l        头部长度(4位)和版本号(4位)
l        包总长度(2字节)
l        数据在传输层上使用的协议类型。下表说明了IP包的通用TCP/IP协议类型域
Protocol
Value(Decimal)
TCP
6
UDP
17
ICMP
1
IGMP
2
l        头部校验和(2字节)
l        源IP(4字节)
l        目的IP(4字节)
       IP头中协议域的值为06说明了数据包是TCP包。
4、4  识别HTTP请求
              识别出数据包是TCP包后,我们必须识别包是否是HTTP请求包。为找出包中是否包含HTTP请求,我们必须检查TCP头,TCP头如下所示:
       TCP头中重要的域是:
l        源端口(2字节)
l        目的端口(2字节)
l        序列号(4字节)
l        标识号(4字节)
l        Hlen,保留和代码位(2字节)
l        窗口(2字节)
l        校验和(2字节)
l        紧急点(2字节)
       如上所述,TCP头中,我们最关心的域是 源和目的端口域。这些域说明了连接建立的端口。不同的TCP服务比如 HTTP,FTP等等使用特定的端口号来提供他们的服务。
       对HTTP服务来说,端口号是008010或005016。 如果源端口域包含值是80(HTTP端口号),则包就是HTTP响应包。如果目的端口域是80,则包是HTTP请求包
4、5  获取URL
       现在我们已经发现包是一个HTTP请求包了,找到包中包含的URL地址就相对简单了。
       在浏览器中键入的请求被以GET或POST请求的形式被发HTTP服务器。浏览器添加其他的与浏览器相关的信息,发往相应的HTTP服务器。完整的信息包含了封装在数据包中的请求页的URL。因此,依靠分析数据包就可以得到URL。 URL出项在数据包中的通用格式为
       GET/HTTP/1.0
       以上的URL是我们键入浏览器的任何站点默认页。如果我们请求站点的其他页或点击页面中提供的链接,然后请求页也被放入GET请求中。例如,当我们请求的页面为sample.html,则URL将会是:
GET/sample.html HTTP/1.0
       因此,通过在数据包中查找GET串,就可以获取URL请求。
 
5、 驱动性能和操作系统兼容性
       在混杂模式下,驱动捕获到达网卡的所有数据包。如果网络流量很大,就有可能不能捕获而丢包。这必须考虑在内。 驱动中使用的是NDIS版本是3.0。驱动在Windows NT下工作良好,但不能在Windows95下工作,因为Windows95仅仅支持的是NDIS是2.1版本和NDIS 3.1版本。
WINDOWS CE中使用驱动的相关问题
       Windows CE中NDIS应用是Windows NT下NDIS4.0的一个子集。为Windows NT写的驱动代码可以在Windows CE下工作,但需要考虑到一些问题。才Windows CE下,驱动会被编译为DLL,而不是Windows NT下的.SYS文件。而且,CE不支持内建的DMA和分配连续的内存块。更进一步, 为CE编写NDIS驱动,程序员必须考虑到电源管理的问题。这就是说,必须提供附加的电源管理代码。
 

你可能感兴趣的:(使用NDIS驱动监测以太网络活动)