NDIS—HOOK网络封包截获技术实现

首先介绍了NDIS(网络驱动接口规范)的基本概念,引出NDIS的层次结构,简要介绍各个层次的功能。然后在此基础上介绍NDIS—HOOK技术的特点、工作原理和两种实现方法,并对各种网络封包截获技术进行比较。经过测试,NDIS—HOOK技术可以截获所有网络封包。最后,对本次研究和开发工作进行总结,并对基于NDIS—HOOK的网络封包截获技术的应用作了探讨和展望。

第5期 2o 0 8年 1 O月

微

处

理

机

No 5 .

MI CR0P R0CES 0RS S

0c .. 0 8 t 2 0

NI D S—HO K网络封包截获技术实现 O 刘静，国永裘 (陕西师范大学计算机科学学院，西安 70 6 ) 1o 2

摘

要：首先介绍了N I( D s网络驱动接口规范)的基本概念，引出 N I D S的层次结构，简要介绍

各个层次的功能。然后在此基础上介绍 N I H O Ds— O K技术的特点、工作原理和两种实现方法， 并对各种网络封包截获技术进行比较。经过测试， DS— O K技术可以截获所有网络封包。最 NI HO 后，对本次研究和开发工作进行总结，并对基于 N I— O K的网络封包截获技术的应用作了探 Ds H O 讨和展望。

关键词：网络驱动接口规范； Ds H O N I— O K技术；网络封包；截获中图分类号：P9 .8 T 3 3O文献标识码：文章编号：o2— 29 2o )5一 o l— 3 A 1o 2 7【0 8 O o5 o

T eI I naino e r P c esC pui e h oo y h e mp me tt f t k a k t a tr gT c n I o N wo n g b s d0 a e n NDl—HOOK S UUJ g QuG 0 og i,I u一yn n (飘w S7 c l c唧Ⅱ s e’n7 0 6, 0 c,口 10 2 )

A src: ip rnmdcsbs ocpi s f DS( e okDie t f eS e ctn btat s印e t ue ai cnetn I N t r r r ne l pc ai ) i c o oN w V I rc a o a di yt heacy a dfn t n e, ae n ti fu d t n ti p rit u e eh o g n sss m i rh I u c 0 . n b sd 0 ls 0 n ai, s印e md c st n l y t e E l i 1 0 h n c o c啪 ee it o e a in lp ic p a d t o i lme t t n meh d f ND S— HOOK. lo t i p p r h t r i p r t a r i k n w mp e n a i t 0 s 0 I s c, o n o A s, hs a e

c mp rss v ml ew r a k t c tr g tc n lg .tc n c pu e a e o kp c es肌 d fn t

n o ae e e t o kp c es印 ui eh oo y I a a tr U n r a k t n n u ci s o w U I h n slt n r rsn e n ec pin sw l a u uewok 0 e .n tee d,0ui sae p ee td a d p re t sa el sftr r fNDI—HOOK b sd 0 o S ae n t o l p c e a t r g a e ds u s d ew r a k tc p u i r ic s e .【 n Ke r s NDI NDI y wO d: S; S—HOO tc n lg; e w r a k t;印 t r K e h o 0 y N t o k p c e s C u e

1引言 随着计算机技术和通信技术的飞速发展，因特网迅速普及。网络信息系统已渗透到社会生活的各个领域，全球信息化已成为人类发展的大趋势。随 之而来的安全问题也日益严重，旦网络安全问题一

来实现的。

在设计实现中，重点讨论如何实现利用 N I— Ds HO O K技术来截获网络封包，分析 N I— O K技 Ds H O术截获网络封包的技术特点、实现原理，以及与其他截获网络封包方法的比较。

发生，可能会带来非常严重的后果。例如重要信息

2 NI D S系统结构 N I( e okDi rItfc pci tn是 DS N t r r e ne aeS eic i ) w V r fa0 Mioot 3 o c sf和 C m公司开发的网络驱动程序接口规 r

和数据的窃取，计算机资源的破坏等，将会给政府和企业蒙受巨大的损失。 为了有效的防范网络攻击，我们必须采取行之

范。它为 wi 0 s网络驱序程序的开发带来许多 n w下 d

有效的措施来保障信息安全，防火墙当然作为人们首选的安全防卫工具，防火墙基本上是基于对数据 包的截获技术实现的。当然在具体的实现方式上有

方便，编写符合 N I规范的驱动程序时， DS只要调用 NI DS函数，而不用考虑操作系统的内核以及与其他驱动程序的接口问题，为操作系统对不同网络的支持提供了方便。 wi 0 s n w使用 N I d Ds函数库实现 N I接口， DS所有的网络通信最终必须通过 N I完成。N I负责 DS DS 上下层驱动程序间服务原语与驱动程序入口之间的 转换，分派消息通知，保证符合 N I的驱动程序无 D

s

很大的不同，总的来说可分为用户态和核心态数据 包截获技术。其中用户态截获数据包包括 s I P接口， nok A IH O wi c P O K技术等；核心态主要是 s而 TI D传输驱动程序， DS中间层驱动程序， DS— NI NI

HO O K钩子驱动程序，这些都是利用网络驱动程序

作者简介：刘静 (93,, 18一)女河南省新乡市辉县人，士研究生，硕主研方向：网络安全，数据挖掘。 收稿日期： o 1 O 2 6— 2一 1 0

第1页