请问数据包拦截技术问题

本人最近要交毕业论文，题目是“数据包的拦截和分析”，在正文部分要写都有哪些拦截技术，在哪层拦截，然后集中陈述使用winpcap拦截的方法，哪位大虾帮帮我，小弟不盛感激。

vmvare这类虚拟机就需要虚拟网卡

疑惑。那么虚拟网卡是干什么的呢

用虚拟网卡来实现拦截，不太现实吧，它本来也不是干这个用的
中间层驱动安装是麻烦一些，稳定性还好吧，毕竟是微软推荐的技术
改版后已经没有办法给分了，呵呵。

4楼怎么没提虚网卡技术？是包含在其中之一了，还是做不了包拦截？
再有就是中间层驱动的安装卸载稳定性不好吧？

还有一个菜问题问版主，怎么散分啊？上次你回答我的问题还没给分呢。

总结得很好，顶一下

系统的关键技术是数据包的拦截与分析。目前数据包的拦截与分
析有许多种技术 ：
用户态下的网络数据包拦截
1)Winsock Layered Service Provider (LSP) ，也称SPI
这项技术可以截获所有的基于 Socket 的网络通信 ，缺点是不用Socket 的网络通信无法拦截 。
2)Windows 2000 包过滤接口
Windows 2000 IPHLP API提供了安装包过滤器的功能。但是，包过滤的规则有很多限制，对于个人防火墙来说是远远不够的。  
3)替换系统自带的WINSOCK动态连接库。
通过重载 winsock.dll 中的有关网络收、发函数，增加网络封包收、发前、后的自定义处理功能，实现网络封包截获。
很显然，在用户态下进行数据包拦截最致命的缺点就是只能在Winsock层次上进行，而对于网络协议栈中底层协议的数据包无法进行处理。对于一些木马和病毒来说很容易避开这个层次的防火墙。

利用驱动程序拦截网络数据包
1)TDI过滤驱动程序(TDI Filter Driver)
当应用程序要发送或接收网络数据包的时候，都是通过与协议驱动所提供的接口来进行的。我们只需要开发一个过滤驱动来截获这些交互的接口，就可以实现网络数据包的拦截。
2)NDIS Hook Driver
这是目前大多数个人防火墙所使用的方法。通过修改NDIS.SYS的Export Table或者向系统注册假协议fake protocol)实现Hook 。
3)Win2k Filter-Hook Driver
4)NDIS中间层驱动程序(NDIS Intermediate Driver)
中间层驱动介于协议层驱动和小端口驱动之间，它能够截获所有的网络数据包(如果是以太网那就是以太帧)。中间层驱动功能强大，是今后个人防火墙技术的趋势所在 。

1.spi,2.tdi,3.ip filter,4.ndis imd or ndis hook(原理类似)拦截 都属于哪些层拦截
 

正分别如其名字所示.

[quote]本人最近要交毕业论文，题目是“数据包的拦截和分析”，在正文部分要写都有哪些拦截技术，在哪层拦截，然后集中陈述使用winpcap拦截的方法，哪位大虾帮帮我，小弟不盛感激。

可以在1.spi,2.tdi,3.ip filter,4.ndis imd or ndis hook(原理类似)拦截.
wincap的方法不能叫拦截，仅仅是ndis protocol驱动，类似于sniffer,能看到来自网卡的包，但不能修改，也不能抛弃，不象
上面三种方法，属于并联的关系，上面三种都是串联的方法 [/quote]

1.spi,2.tdi,3.ip filter,4.ndis imd or ndis hook(原理类似)拦截 都属于哪些层拦截

本人最近要交毕业论文，题目是“数据包的拦截和分析”，在正文部分要写都有哪些拦截技术，在哪层拦截，然后集中陈述使用winpcap拦截的方法，哪位大虾帮帮我，小弟不盛感激。

可以在1.spi,2.tdi,3.ip filter,4.ndis imd or ndis hook(原理类似)拦截.
wincap的方法不能叫拦截，仅仅是ndis protocol驱动，类似于sniffer,能看到来自网卡的包，但不能修改，也不能抛弃，不象
上面三种方法，属于并联的关系，上面三种都是串联的方法