如何在Windows中挂钩TCP堆栈来嗅探和修改数据包?
在Windows中挂钩TCP堆栈来嗅探和修改数据包,可以使用Windows Filtering Platform (WFP)。WFP是一个内置于Windows操作系统的网络驱动程序接口 (NDIS) 过滤器驱动程序,它允许开发人员编写用户模式应用程序或内核模式驱动程序来拦截和修改网络流量。
以下是使用WFP挂钩TCP堆栈的步骤:
- 创建一个用户模式应用程序或内核模式驱动程序。
- 在应用程序或驱动程序中,使用Windows Filtering Platform API注册一个回调函数。回调函数将在每个网络数据包到达或离开系统时被调用。
- 在回调函数中,检查数据包是否为TCP数据包,并对其进行嗅探和修改。
- 使用Windows Filtering Platform API将修改后的数据包注入回系统。
以下是一个简单的示例代码,用于在用户模式应用程序中使用WFP挂钩TCP堆栈:
using System;
using System.IO;
using System.Net;
using System.Net.Sockets;
using System.Runtime.InteropServices;
using System.Threading;
using System.Threading.Tasks;
using Microsoft.Win32.SafeHandles;
namespace WfpExample
{
class Program
{
static void Main(string[] args)
{
// 注册回调函数
var filter = new FWPM_CALLOUT0
{
calloutKey = Guid.NewGuid(),
displayData = new FWPM_DISPLAY_DATA0
{
name = "Example Callout"
},
flags = FWPM_CALLOUT_FLAG.FWPM_CALLOUT_FLAG_PERSISTENT,
providerKey = Guid.Empty,
applicableLayer = FWPM_LAYER.FWPM_LAYER_ALE_AUTH_CONNECT_V4
};
var filterHandle = IntPtr.Zero;
var filterEnumHandle = IntPtr.Zero;
var sessionHandle = IntPtr.Zero;
try
{
// 创建会话
var session = new FWPM_SESSION0
{
flags = FWPM_SESSION_FLAG.FWPM_SESSION_FLAG_DYNAMIC
};
var sessionHandle = IntPtr.Zero;
var result = FwpmEngineOpen0(ref session, out sessionHandle);
if (result != 0)
{
throw new Win32Exception(result);
}
// 添加回调函数
result = FwpmCalloutAdd0(sessionHandle, ref filter, out filterHandle);
if (result != 0)
{
throw new Win32Exception(result);
}
// 枚举回调函数
result = FwpmCalloutCreateEnumHandle0(sessionHandle, ref filterEnumHandle);
if (result != 0)
{
throw new Win32Exception(result);
}
// 启动网络监听
var socket = new Socket(AddressFamily.InterNetwork, SocketType.Raw, ProtocolType.IP);
socket.Bind(new IPEndPoint(IPAddress.Any, 0));
var buffer = new byte[4096];
while (true)
{
var received = socket.Receive(buffer);
var packet = new IPPacket(buffer, received);
// 在这里嗅探和修改数据包
socket.Send(packet.GetBytes());
}
}
catch (Exception ex)
{
Console.WriteLine(ex);
}
finally
{
// 删除回调函数
if (filterHandle != IntPtr.Zero)
{
FwpmCalloutDeleteById0(sessionHandle, filter.calloutKey);
}
// 关闭会话
if (sessionHandle != IntPtr.Zero)
{
FwpmEngineClose0(sessionHandle);
}
}
}
[DllImport("Fwpuclnt.dll", SetLastError = true, CharSet = CharSet.Auto)]
public static extern int FwpmEngineOpen0(ref FWPM_SESSION0 session, out IntPtr sessionHandle);
[DllImport("Fwpuclnt.dll", SetLastError = true, CharSet = CharSet.Auto)]
public static extern int FwpmEngineClose0(IntPtr sessionHandle);
[DllImport("Fwpuclnt.dll", SetLastError = true, CharSet = CharSet.Auto)]
public static extern int FwpmCalloutAdd0(IntPtr sessionHandle, ref FWPM_CALLOUT0 callout, out IntPtr calloutHandle);
[DllImport("Fwpuclnt.dll", SetLastError = true, CharSet = CharSet.Auto)]
public static extern int FwpmCalloutDeleteById0(IntPtr sessionHandle, Guid calloutKey);
[DllImport("Fwpuclnt.dll", SetLastError = true, CharSet = CharSet.Auto)]
public static extern int FwpmCalloutCreateEnumHandle0(IntPtr sessionHandle, ref IntPtr enumHandle, out IntPtr enumHandle);
}
}在这个示例中,我们使用WFP API创建了一个用户模式应用程序,并在其中注册了一个回调函数。然后,我们使用原始套接字创建了一个网络监听器,并在其中
相关·内容
1回答
winpcap是如何工作的?
、、、、
正如你所知道的,windows已经不再支持raw_sockets,因此没有真正的解决方案来使用raw_sockets来构建网络嗅探器。所以我的问题是Winpcap和类似的库到底是如何在windows上提供网络嗅探的?这取决于windows的版本吗?它是否使用其他一些技术来实现数据包嗅探?除了raw_sockets之外,是否还有其他解决方案可以执行
浏览 0提问于2012-10-13得票数 0
我已经使用netfilter钩子函数来过滤/嗅探传出的IP数据包。我正在寻找过滤IP层和链路层之间的传出(从主机)数据包,以查看第二层信息,如-接口,MAC地址。我猜在地址解析之前,NF_INET_POSTROUTING不会像在ip_output()中调用的那样给出mac地址信息。
我查找了ebtables钩子函数,它们似乎与网桥输入/转发/输出相关。如果我理解的话,从本地tcp/ip传出的数据包</em
浏览 10提问于2018-03-31得票数 2
我正在尝试用Python嗅探ospf数据包,并在ubuntu中实现了这一目标。 print("proto:", binascii.hexlify(ip_hdr[1]))
在ubuntu 16.04
浏览 23提问于2017-06-20得票数 1
回答已采纳
7回答
我想为Windows编写一个数据包嗅探器和编辑器。我希望能够看到进入和离开我的系统的所有数据包的内容,并可能修改它们。任何语言都可以,但我希望它运行得足够快,不会给系统带来负担。我读过一些关于WinPcap的文章,但是文档声称不能使用WinPcap创建防火墙,因为它不能丢弃数据包。有什么工具可以帮我写这个软件?
浏览 0提问于2009-03-29得票数 12
1回答
我已经开始使用winpcap,在tcp/udp端口上遇到了一个有趣的情况。我写了一个包转发器,在接口上嗅探,并从指定的端口转发包。我不打开端口,因为我直接从接口嗅探。问题是tcp/ip堆栈在关闭的tcp端口上应答RST、ACK,在关闭的UDP端口上应答ICMP目标无法到达。
我需要以这样一种方式来解决这个问题,即关闭的端口不会回答任何会中断对话的问题。是否有一种方法可以将数据包从到达tcp
浏览 6提问于2020-10-08得票数 0
1回答
是作为内核旁路实现的数据包嗅探器软件。如果是的话,它是如何在linux和windows上完成的?
或者数据包嗅探器实际上依赖于内核与NIC对话,并将其置于混乱的模式中。如果是这样,那么linux和windows的APIs是什么?
浏览 1提问于2015-05-13得票数 0
我遇到了一个问题,一个依赖文件锁的应用程序在Windows 10上崩溃。程序员告诉我,这个应用程序对丢包非常敏感,所以我想检测一下局域网通信中发生了什么,看看数据包是否丢失以及何时丢失。我能用什么工具来做这个呢?
坦斯克
浏览 0提问于2018-08-08得票数 1
回答已采纳
我正在尝试使用RawCap来嗅探Windows localhost。然而,与其标榜的能力相反,它并不起作用。我开始如下所示:然后,我运行我编写的一个小echo TCP客户机/服务器测试应用程序。但是,数据包捕获文件为空。有没有人知道我还需要采取什么其他步骤才能让它正常工作?2011年7月20日添加的其他信息:我联系了生产RawCap的公司,他们建议确保我具有管理
浏览 0提问于2011-07-16得票数 5
回答已采纳
我有一个反复出现的问题,那就是我发送的数据包无法到达。我试着用scapy和wireshark来嗅探它们,但是它们没有被嗅探到。我查了一下,发现的问题可能是数据包发送到了错误的接口。这似乎是可能的,因为我的替罪羊的默认iface设置为"eth0",并且我在wifi连接上嗅探。如果这真的是问题所在,我该如何在wifi连接上设置scapy发送和嗅<e
浏览 0提问于2015-07-11得票数 1
我正在使用JPCAP库来捕获数据包。使用JPCAP可以构造KDD 99数据集中提到的TCP连接的基本特性(例如持续时间、protocol_type、服务、源端口、目的端口)。基于时间的功能,如“计数,serror_rate,rerror_rate,相同的服务速率”。
因此,请给我任何提示,以建设这样的功能从现场交通。
浏览 1提问于2013-01-27得票数 1
5回答
我正在寻找一个嗅探器,可以与环回地址在Windows中工作。到目前为止,我发现Microsoft Network Monitor是一个很好的工具,但对于localhost来说,它是无用的,因为在Windows上,localhost数据包不会通过常规的网络堆栈,所以它们对于像MS network Monitor这样的以太网嗅探器是不可见的。有什么好的(开源的)嗅探器可以和localh
浏览 0提问于2009-10-14得票数 58
回答已采纳
1回答
我按照下面的教程用Python实现了一个包嗅探器:
my_pkt = rdpcap("test.pcap")Test.pcap包含一个带有UDP_src=7777和UDP_dest使用netcat生成流量,如下所示:嗅探器只
浏览 1提问于2017-06-01得票数 2
回答已采纳
1回答
尝试使用python中的原始套接字创建数据包嗅探器,并希望使用struct.unpack方法解析完整的TCP报头,但有些字段(如HLEN(4位)和偏移、URG、ACK、PST、RST、SYN、FIN在tcp
浏览 4提问于2013-08-22得票数 1
回答已采纳
我想用Winpcap库过滤(丢弃)传入和传出的数据包。
是否可以使用Winpcap过滤数据包?
浏览 4提问于2013-05-21得票数 2
回答已采纳
6回答
HTTP包重构
、、、
如果我有一个大的HTTP包,它已经被分成多个TCP数据包,我如何将它们重构回一个HTTP数据包?基本上,当HTTP包开始/结束时,我应该在包中的哪个位置判断呢?在TCP头中,我似乎看不到任何标志/字段来表示HTTP数据包的开始或结束。
编辑:后续响应。如果TCP管理流,它如何知道流什么时候开始和结束?这是由插座的开启和关闭决定的吗?在某种程度上,某些协议必须能够知道HTTP流/数
浏览 7提问于2009-10-07得票数 10
回答已采纳
1回答
调用已经嗅探到通信服务器
、、、
我正在对服务器服务进行逆向工程,我嗅探了客户端和服务器之间的流量,这里是十六进制格式的数据包:
00000016444f3939393930303030313030315c4a303039333331这是一个TCP服务器(没有身份验证和ssl),我想使用通用客户端(如nc netcat)调用它,但我找不到一种方法来正确发送我嗅探到的数据。
浏览 1提问于2012-01-10得票数 1
回答已采纳
2回答
sniff(count)正在等待x个数据包进行嗅探,虽然我必须将该行放在url-request之前,它会阻塞程序,但url-request从不启动,也从不嗅探任何数据包。当我在ubuntu命令行中打开2个Windows时,它起作用了。在第一个窗口中,我激活了python的交互模式,并激活了嗅探器。这样做之后,我在第二个窗口中启动了网络爬虫,第一个窗口中的嗅探器正确地接收到了
浏览 26提问于2019-11-01得票数 1
回答已采纳
1回答
我使用的是Windows 8.1。2 tcp unknown compr
3 tcp unknown unknown
浏览 4提问于2015-05-18得票数 1
7回答
我想知道是否有一种编程方法来获得通过TCP流发送数据时所使用的全部带宽的度量。由于我似乎不知道网络堆栈如何将流划分为数据包,或者当它发送TCP SYN或ACK或它在后台为您做的许多事情时,我只能得到一个粗略的估计。我能想到的唯一解决方案是实际嗅探接口,但我认为堆栈已经可以为我收集这些统计数据了。这是在Windows或Linux下运行的Java (当然,最好是可移植的解决方案),但我可以将C/C++答案JNI化,因此(以及OS
浏览 0提问于2010-02-04得票数 7
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
