关于底层截包+入侵检测+转发，请DX们指点

      需要实现的是，windows平台下截获数据包，然后进行类似入侵检测的功能，对于可疑的数据包转发到我所希望的主机上，而且，对可疑的数据包的转发最好能保证TCP的三次握手连接。
   欧是新手，空有一些书本知识，却从未真正写过程序（脸红的说），这次被逼上梁山了，这个任务必须要完成，这段时间都在网上到处乱逛，了解些基础知识，后来得知这里就奔来了，欧有几点疑问，想请各位DX们给点指导：
1、现在了解到要实现这个任务需要写驱动，看了一些，想通过NDIS HOOK截包，然后再检测，转发，不知是否可行？若可行，后面的检测，转发，该在什么层次上做？是否是协议驱动？
2、不怕大家笑话，因为没写过程序，因此头脑里对这些工作应该怎样用代码实现也没个底，不知道NDIS HOOK 和协议驱动应该怎样联系起来？（如果上面一点成立的话，考虑这点）
3、保证TCP三次握手连接要在哪部分完成？（欧觉得就是从检测过后就开始模拟三次握手，不知这样说是否理解正确）这个难度有多大？可行性有多大？有没什么推荐的代码或是资料学习下？
4、欧目标是在五个月内完成这些功能，现在也处于茫然期，希望大家能多给些建议，批评打击的欧统统都接受，忠言逆耳，呵呵
   以前一直怵编程，总觉得在别人手中写出的代码，自己一点思路也没有，也不知道该怎么定义那些结构，变量，写出我想要的函数，代码，这次是不能再逃避了，虽然看大家都说驱动不好写，但是我想有志者事竞成，我要坚持写好我人生中的第一个代码。

五个月的时间 时间还比较充足 可以作
先去了解ndis 和 passthru
至于那个三次握手连接的问题
你必须在你所希望的主机上有 一个sock服务 或者称为守护程序
就是说这台主机（接收方）即使不经过中转，也能和发送方进行三次握手。

passthru不是用的是IMD么？不知道NDIS HOOK能否实现上述功能？补充一下，对于有些包可能不是简单的转发，而是对本身的目的主机A和我自己设置的主机B同时发送，但在发送方C看来认为在和目的主机进行通信，而且在后来的通信中，有可能断掉AC的连接，只让BC通信，或者只让AC通信，这样只用sock服务可以实现么？需要用驱动么？
对于这些，欧实在不知该如何下手