Windows Filter Driver (Network) — возможна-ли фильтрация только на capturing mode? Здравствуйте!
Изучаю разработку драйверов под Windows. Возник вопрос касательно сетевого фильтрующего драйвера. Насколько я понял, есть возможно перехватывать пакеты в kernel-mode и принимать решение о их бущем - дропнуть или отправить/принять в соответствии с заданным фильтром.
Приложения могут как сами отправлять/принимать пакеты, но могут и мониторить интерфейс (capturing mode).
Захват осуществляется "записью на диск", в отличии от "режима общения", когда пакеты хранятся в виртуальной памяти. Можно посмотреть на второй иллюстрации здесь, ну или просто запустить тот же Wireshark в режиме отладки и посмотреть на структуру pcap_t и куда она сбрасывает данныен при захвате.
Вопрос заключается в том, возможно ли на уровне драйвер установить фильтр ТОЛЬКО на захват пакетов (допустим dumpcap.exe начал capturing, и фильтр драйвера выбрасывает в файл не все пакеты, а только выборочные).
Windows Filter Driver (Network) — возможна-ли фильтрация только на capturing mode? Здравствуйте!
Изучаю разработку драйверов под Windows. Возник вопрос касательно сетевого фильтрующего драйвера. Насколько я понял, есть возможно перехватывать пакеты в kernel-mode и принимать решение о их бущем - дропнуть или отправить/принять в соответствии с заданным фильтром.
Приложения могут как сами отправлять/принимать пакеты, но могут и мониторить интерфейс (capturing mode).
Захват осуществляется "записью на диск", в отличии от "режима общения", когда пакеты хранятся в виртуальной памяти. Можно посмотреть на второй иллюстрации здесь, ну или просто запустить тот же Wireshark в режиме отладки и посмотреть на структуру pcap_t и куда она сбрасывает данныен при захвате.
Вопрос заключается в том, возможно ли на уровне драйвер установить фильтр ТОЛЬКО на захват пакетов (допустим dumpcap.exe начал capturing, и фильтр драйвера выбрасывает в файл не все пакеты, а только выборочные).
Изучаю разработку драйверов под Windows. Возник вопрос касательно сетевого фильтрующего драйвера. Насколько я понял, есть возможно перехватывать пакеты в kernel-mode и принимать решение о их бущем - дропнуть или отправить/принять в соответствии с заданным фильтром.
Приложения могут как сами отправлять/принимать пакеты, но могут и мониторить интерфейс (capturing mode).
Захват осуществляется "записью на диск", в отличии от "режима общения", когда пакеты хранятся в виртуальной памяти. Можно посмотреть на второй иллюстрации здесь, ну или просто запустить тот же Wireshark в режиме отладки и посмотреть на структуру pcap_t и куда она сбрасывает данныен при захвате.
Вопрос заключается в том, возможно ли на уровне драйвер установить фильтр ТОЛЬКО на захват пакетов (допустим dumpcap.exe начал capturing, и фильтр драйвера выбрасывает в файл не все пакеты, а только выборочные).
Не можешь разобраться в этой теме?
Обратись за помощью к экспертам
Гарантированные бесплатные доработки
Быстрое выполнение от 2 часов
Проверка работы на плагиат
Интересные статьи из справочника
Поможем написать учебную работу
Отвечай на вопросы, зарабатывай баллы и трать их на призы.
Подробнее
Подробнее
Да, возможно настроить фильтрацию только на захват пакетов в сетевом драйвере. Вы можете настроить ваш драйвер таким образом, чтобы он фильтровал только определенные пакеты в процессе захвата, например, исходя из определенных критериев или правил. Таким образом, драйвер будет выбрасывать в файл только выбранные пакеты, которые соответствуют вашим заданным условиям фильтрации. В этом случае, другие пакеты не будут записываться в файл, что позволит вам получить только необходимую информацию из захваченных данных.