|
阅读:2766回复:5
关于《寒江独钓》上的NDIS协议驱动的一个问题请教
我买了一本《寒江独钓》的书,在第十三章看到关于NDIS协议驱动的说明有以下一段话:
“能否截获所有本机发出去的包,成了为NDIS协议驱动和NDIS中间层驱动在信息安全应用领域最大的区别”。 我的理解就是NDIS的协议驱动能够截获所有进入本机网卡的数据包,但不能截获本机的应用程序通过网卡发出的数据包。我通过NdisProt的例子,也确实只可以截获到接收的包。我本来以为这是正确的。 但后来我想到WinpCap为何可以过滤到本机发出的包呢,最后我通过看它的源代码发现不同在于WinpCap设置网卡是混杂模式,而NdisProt不是。 所以我的问题是NDIS的协议驱动是否可以截获所有本机发出的包?如果是不可以,那设置混杂模式这种方式是否有漏包的可能? |
|
|
|
沙发#
发布于:2011-03-14 11:01
1 混杂模式指的对接收而言
2 拦截所有发出去的数据,有个歧义。解释:可以通过中间层发送数据。假如通过中间层发包,协议层不会拦截到我们的包因为我们在他下方 |
|
|
|
板凳#
发布于:2011-03-15 14:18
引用第1楼iihacker于2011-03-14 11:01发表的 : 第1点我同意,谢谢。 第2点。这里我不是要自己发送数据包,而是要截获本机上层的应用程序发出去的包。比如Explorer访问网络邻居发出的SMB包等。 问题: 为什么设置成混杂模式后协议驱动就可以截获,如果不设置就不行? 还有就是,设置之后,我用另一个协议驱动设置网卡不是混杂模式,这时候看到好像还是工作在混杂模式,为什么呢? 混杂模式会否有其它的风险? |
|
|
|
地板#
发布于:2011-03-16 11:09
一个协议驱动设置一个不设置?? 网卡很纠结 . 混杂模式的确有很多负面影响可以,在网上 搜一下.
混杂模式是针对网卡而言. 是混杂模式的话,错误的包或者广播等都可以收到 . 我觉得协议层 和中间层最大区别是能否修改数据包 . |
|
|
|
地下室#
发布于:2011-03-16 17:43
谢谢iiHacker的回答。
混杂模式是针对网卡而言. 是混杂模式的话,错误的包或者广播等都可以收到 . 我觉得协议层 和中间层最大区别是能否修改数据包 . 我完全同意。 你觉得协议驱动能否捕获本机应用程序发出去的包呢? |
|
|
|
5楼#
发布于:2011-03-17 16:49
回 4楼(liuqingjun) 的帖子
看网卡。不能看协议层吧??? mark |
|
|