一、前言

　　前段时间，在安全焦点上看到了一文《基于SPI的数据报过滤原理与实现》，很是不错。文章中提到的基于SPI的数据报拦截技术是在用户级的。用户级的拦截有其优势，实现方便、便于移植、通用性强，但是，用户级并不能得到所有的数据报。本文提到的基于IMD的数据报过滤则是属于内核级的，它建立在网络驱动上面。

　　二、中间层驱动技术介绍

　　中间层驱动，英文为NDIS intermediate driver。

　　1）内核级网络驱动介绍

　　Microsoft Windows 2000支持三种基本的内核级网络驱动，这三层driver顺序从下到上依次为：

　　1. Miniport NIC drivers：微端口网卡驱动，位于最底层，直接操纵网卡并且对高层驱动提供接口。

　　2. Intermediate drivers：IMD中间层驱动，这就是今天的主角，位于1和3之间，具体的作用下面就会介绍。

　　3. Protocol drivers：高层协议驱动，俗称为TDI（传输驱动程序接口），高于前面两层，直接面向用户级，为用户提供网络服务，也就是绝大多数程序所用到的网络接口。

　　2）IMD驱动

　　IMD中间层，它的实质很简单，最经典的描述莫过于下面的话：

　　An intermediate driver is typically layered over one or more NDIS NIC drivers and under a transport driver (possibly multilayered) that supports TDI at its upper edge.

　　An NDIS intermediate driver exports MiniportXxx functions at its upper edge and ProtocolXxx functions at its lower edge.（见DDK文档）

　　中间层插入网卡和协议层之间，对上面的协议层表现为一个虚拟的微端口网卡结构，而对下面的网卡则表现为一个协议层的结构。所以，无论是网卡接收并上传的数据报，还是上层要下送至网卡发送的数据报，无一例外地要经过中间层。

　　3）IMD包过滤技术

　　前面我们已经看到，所有的数据报都要经过中间层，所以，我们可以在中间层加入我们想要过滤的数据报的特征，实现基于中间层驱动的内核级包过滤。

　　这样做的优势非常明显，首先，在驱动级别上做过滤，无须组包，速度快，效率自然就高；其次，所有的数据报无一例外，只要网卡上传的数据报均可以截获，避免了用户级无法得到所有数据报的缺点。当然，世界上没有完美的事情。IMD包过滤技术也存在其不可避免的缺点，与操作系统版本关系密切，与硬件联系大，可移植性低。我在调试这个驱动的时候，就碰到了无数次蓝屏，无数次重启动，进了几次安全模式，甚至还为此重新安装了一次系统。

　　正是由于上面的一些问题，现在市面上还没有见到有厂家推出基于IMD的实用型防火墙，大部分都是在实验室中的作品，或许真的是要做到通用性很难吧，不过还是希望能尽快见到这样的产品面世。

　　三、passthru代码分析

　　到这里，你或许已经非常想看看到底怎么来实现基于IMD的包过滤防火墙了，不过，你肯定会迟疑，如果让我们自己写整个中间层驱动的话，是不是有些太艰难了啊？况且，我只是个搞网络安全的，我不是专门写驱动的，让我完成一个驱动程序，还要对上层协议伪装成一个网卡，对下层伪装成一个协议层，这不是要命么？

　　其实微软很不错的，在提出这项技术之后，其DDK中附带了一个中间层驱动的例程，就是passthru。passthru实现了一个中间层的基本功能，对下表现为一个协议层的驱动，对上表现为一个虚拟网卡，安装passthru驱动之后，你可以在硬件管理中的网卡中看到一个虚拟网卡。不过，passthru只是插入到网卡和上层协议中间，却未做任何工作，也就是说，passthru只是让所有的数据报原原本本地流经自己而已。我们要想实现中间层包过滤的功能，需要对passthru进行修改。

　　想想我们要实现的包过滤的功能，我们只需要在中间层接收到数据报的时候进行规则判断就可以了，而在passthru中，接收数据报是用protocol.c文件中的PtReceive和PtReceivePacket这两个函数来实现的。根据微软的解释，微软建议接收包用PtReceivePacket函数，因为可以得到更高的效率，然而，为了向下兼容，也保留了PtReceive函数给老的网卡使用。所以，在一块网卡上，只可能有一个函数在工作，这要取决于你的网卡型号了。巧的是，我的两台机器的网卡应用的函数正巧不一样。同样是IBM的机器，一台P4 1.5G的机器的网卡是Realtek RTL8139(A) PCI Fast Ethernet Adapter，另外一台P4 2.0G的机器的网卡是Intel(R) PRO/100 VE Network Connection，其中Realtek网卡用的是PtReceive来接包，而Intel的网卡是用PtReceivePacket来接包。

　　现在我们知道了哪个函数负责接收数据报，那么我们就可以对这个函数进行修改了。从兼容和通用性考虑，我们需要对PtReceive和PtReceivePacket函数进行修改，其中加上我们需要判断的规则进行过滤，下面就贴详细的代码了。

　　四、部分演示代码

　　我们的目的是在调用接受数据报函数的时候能执行我们的过滤代码，所以，我们要在函数代码中添加我们自己的代码，下面用过滤特定协议类型的数据报来做演示。

　　首先修改PtReceive，看一下protocol.c文件中函数的代码，代码中用NdisGetReceivedPacket函数得到一个PNDIS_PACKET的结构Packet，数据报内容就存放在这个结构中的链表内。我们定义一个PUCHAR结构的pPacketContent，然后用下面的代码获得整个数据报的内容：

　　//---------------------------------------------

　　int PacketSize;

　　PUCHAR pPacketContent;

　　PUCHAR pBuf;

　　UINT BufLength;

　　MDL * pNext;

　　UINT i;

　　//把数据包内容从Packet拷贝到pPacketContent

　　NdisQueryPacket( Packet,NULL,NULL,NULL,&PacketSize);

　　Status= NdisAllocateMemory( &pPacketContent, 2000,

　　0,HighestAcceptableMax);

　　if (Status!=NDIS_STATUS_SUCCESS ) return Status;

　　NdisZeroMemory (pPacketContent, 2000);

　　NdisQueryBufferSafe(Packet->Private.Head, &pBuf, &BufLength, 32 );

　　NdisMoveMemory(pPacketContent, pBuf, BufLength);

　　i = BufLength;

　　pNext = Packet->Private.Head;

　　for(;;)

　　{

　　if(pNext == Packet->Private.Tail)

　　break;

　　pNext = pNext->Next; //指针后移

　　if(pNext == NULL)

　　break;

　　NdisQueryBufferSafe(pNext,&pBuf,&BufLength,32);

　　NdisMoveMemory(pPacketContent+i,pBuf,BufLength);

　　i+=BufLength;

　　}

　　//数据拷贝完毕

　　//-------------------------------------------------

　　现在，我们已经在PtReceive函数中得到了数据报的内容，存放在pPacketContent中，数据报的格式你可以去查书。通常，在以太网中，得到的数据报大致是如下结构，以太帧头14个字节，放在pPacketContent[0]到pPacketContent[13]中，其中前六个字节是目的MAC地址，然后六个字节源MAC地址，然后两个字节是协议类型，通常的协议类型有0x08 0x00 ->IP，0x08 0x06 ->ARP，0x08 0x35 ->RARP，所以，可以通过pPacketContent[12]和pPacketContent[13]来判断协议类型。如果是IP包，然后pPacketContent中存放的是IP头，根据IP头的格式，可以得到第23个字节pPacketContent[23]表示传输层协议：1 ->ICMP，2 ->IGMP，6 ->TCP，17 ->UDP，剩下的就是数据报内容了。因为我们只是做演示，所以只要知道这几个标志性的就好了，其他的你可以根据你的需要扩展。我们通过pPacketContent中的内容可以做些规则，比如过滤ICMP包，我们只要比较pPacketContent[12]和pPacketContent[13]还有pPacketContent[23]这三个标志位就可以了，如果不是ICMP包，那么不做任何工作，如果匹配了，那就返回一个NDIS_STATUS_NOT_ACCEPTED，将包丢弃，释放pPacketContent，就可以过滤ICMP包了，下面就是过滤规则的代码。

　　//---------------------------------------------------------

　　//规则标志位(1表示过滤,0表示放行,你可以通过改这个数值来配置规则）

　　UINT ICMP = 1; //ICMP数据报规则

　　UINT IGMP = 0; //IGMP数据报规则

　　UINT TCP = 0; //TCP数据报规则

　　UINT UDP = 0; //UDP数据报规则

　　//规则判断

　　if (ICMP == 1)

　　{

　　if(((char *)pPacketContent)[12] == 8 &&

　　((char *)pPacketContent)[13] == 0 &&

　　((char *)pPacketContent)[23] == 1)

　　{

　　DbgPrint("ICMP被拦截!\n");

　　NdisFreeMemory(pPacketContent, 2000, 0);

　　return NDIS_STATUS_NOT_ACCEPTED;

　　}

　　}

　　if (IGMP == 1)

　　{

　　if(((char *)pPacketContent)[12] == 8 &&

　　((char *)pPacketContent)[13] == 0 &&

　　((char *)pPacketContent)[23] == 2)

　　{

　　DbgPrint("IGMP被拦截!\n");

　　NdisFreeMemory(pPacketContent, 2000, 0);

　　return NDIS_STATUS_NOT_ACCEPTED;

　　}

　　}

　　if (TCP == 1)

　　{

　　if(((char *)pPacketContent)[12] == 8 &&

　　((char *)pPacketContent)[13] == 0 &&

　　((char *)pPacketContent)[23] == 6)

　　{

　　DbgPrint("TCP被拦截!\n");

　　NdisFreeMemory(pPacketContent, 2000, 0);

　　return ND