|
20楼#
发布于:2002-07-05 19:34
[quote]为了支持ADSL,要对ADSL的数据包处理,根据拦截到的数据包,突然发现不是IP包,这是不是就是PPPoE的包,它是怎样的数据格式,我发现在45 00好象是ip头的前面和mac的后面有8个字节,而且在mac的protocol部分好象是88 .. 你如果只HOOKING TCP/IP的话,你不可能会有机会处理PPPOE协议 因为 PPPOE的IMD驱动程序是透明在进过他的时候已经过滤掉了。 你不会连PPPOE的协议驱动也HOOKING了吧。 [/quote] 不管他用IMD还是用NDIS HOOK实现的,他都没有必要处理PPPOE 的数据桢,我看他们你来我往的切磋了多个回合,一直没有搞懂 他们到底在干什么。 |
|
|
|
21楼#
发布于:2002-07-05 19:50
各位大侠,我注册了一个假协议,后得到tcpip的receive and send,pppoe的软件我是用的EnterNet300,EnterNet300虚拟了一个网卡,对应内核部分也有一个Open_Block,我把它的Open_Block里的receive和send也hook了,我连接上以后确实是收到了PPPoE的数据包,我看了发送部分,发送的还是IP包,但接收的确是PPPoE的数据包,我能看到0x8863和0x8864,也能看到0021,这是PPP协议里的IP协议封装!
现实情况确是这样的! 我确并不是十分了解它们的整体结构是什么样子的,但我收到的确是这样的包! 我想tcpip的send是在EnterNet300的send之上,而receive确是在EnterNet300之下,这样才能出现这种情况,对吗? 哪位知道原因,能否给讲讲,谢了! |
|
|
22楼#
发布于:2002-07-05 20:24
那个EnterNet300虚拟的网卡的Open_Block里的Receive接收到数据包以后,它绑定的那个真实网卡的Open_Block里的Receive会不会再收到经过EnterNet300处理过的数据包?
呵呵,我只是这么想,有点天真! |
|
|
23楼#
发布于:2002-07-05 20:35
各位大侠,我注册了一个假协议,后得到tcpip的receive and send,pppoe的软件我是用的EnterNet300,EnterNet300虚拟了一个网卡,对应内核部分也有一个Open_Block,我把它的Open_Block里的receive和send也hook了,我连接上以后确实是收到了PPPoE的数据包,我看了发送部分,发送的还是IP包,但接收的确是PPPoE的数据包,我能看到0x8863和0x8864,也能看到0021,这是PPP协议里的IP协议封装! \"我想tcpip的send是在EnterNet300的send之上,而receive确是在EnterNet300之下,这样才能出现这种情况,对吗?\" ---------- 如pppoe driver是用IMD实现的.这不太可能! 我东西已经发你!请查收! |
|
|
|
24楼#
发布于:2004-08-06 00:16
[quote]为了支持ADSL,要对ADSL的数据包处理,根据拦截到的数据包,突然发现不是IP包,这是不是就是PPPoE的包,它是怎样的数据格式,我发现在45 00好象是ip头的前面和mac的后面有8个字节,而且在mac的protocol部分好象是88 .. 你如果只HOOKING TCP/IP的话,你不可能会有机会处理PPPOE协议 因为 PPPOE的IMD驱动程序是透明在进过他的时候已经过滤掉了。 你不会连PPPOE的协议驱动也HOOKING了吧。 [/quote] 帖子虽然老,但是很有研究价值,请问各位大侠,如果HOOK TCPIP协议的话,发送的函数带不带Enternet帧呢? 我对PPPoE不熟,但是现在又要涉及 |
|
|
上一页
下一页