Какова процедура приема и обработки пакетов Wireshark на компьютере с Windows?

Я собираюсь использовать Wireshark для мониторинга трафика на моем компьютере с Windows . Во время работы над ним мне было интересно, как Wireshark удается перехватывать сетевые пакеты низкого уровня до того, как это делает Windows .

Прежде всего, сетевой интерфейс моей сетевой карты получает пакет. Затем NIC выполняет некоторые начальные проверки (CRC, правильный MAC-адрес и т. Д.). Предполагая, что проверка прошла успешно, NIC пересылает пакет. Но как и где?

Я понимаю, что драйверы являются связующим звеном между NIC и ОС или любым другим приложением. Я также предполагаю, что есть отдельный драйвер для Windows и Wireshark ( WinPcap ?). В противном случае Wireshark не сможет принимать кадры Ethernet . Существуют ли два или более драйверов NIC одновременно? Как NIC узнает, какой использовать?

networking ethernet wireshark

— Ханси
источник

Ваша предпосылка неверна. Сетевая карта всегда передает пакет Windows (в частности, драйверу устройства, а затем сетевому стеку), и Windows должна решить, что с ним делать. В Windows есть функция, с помощью которой программа может запрашивать получение пакетов «как они были в сети», возможно, применяя фильтр, и Wireshark использует эту функцию. Wireshark не обходит Windows.

— zwol

(Существуют экспериментальные операционные системы, которые пытаются создать чрезвычайно высокоскоростную сеть, позволяя доставлять пакеты напрямую с сетевой карты в приложение, но AFAIK Windows не может этого сделать: вы всегда по крайней мере проходите уровень NDIS.)

— zwol

Ответы:

Модель ввода / вывода в Windows основана на стеке компонентов. Данные должны проходить через различные компоненты этого стека, который существует между физической сетевой картой и приложением, которое будет использовать данные. Иногда эти различные компоненты проверяют данные (например, пакет TCP), когда они проходят через стек, и на основе содержимого этого пакета данные могут быть изменены или пакет может быть полностью отброшен.

Это упрощенная модель «сетевого стека», через который проходят пакеты, чтобы попасть из приложения в проводную сеть и наоборот.

Одним из наиболее интересных компонентов, показанных на снимке экрана выше, является API-интерфейс WFP (Windows Filtering Platform). Если мы увеличим масштаб, это может выглядеть примерно так:

Разработчики могут свободно вставлять свои собственные модули в соответствующие места в этом стеке. Например, антивирусные продукты обычно используют «драйвер фильтра», который подключается к этой модели и проверяет сетевой трафик или предоставляет возможности брандмауэра. Служба брандмауэра Windows также явно вписывается в эту модель.

Если вы хотите написать приложение, которое записывает сетевой трафик, такой как Wireshark, то соответствующим способом будет использовать собственный драйвер и вставить его в стек как можно ниже, чтобы он мог обнаруживать сетевые пакеты. до того, как у вашего модуля брандмауэра есть шанс отбросить их.

Таким образом, есть много «драйверов», вовлеченных в этот процесс. Много разных типов драйверов тоже. Кроме того, другие формы ввода / вывода в системе, такие как чтение и запись на жестком диске, следуют очень похожим моделям.

Еще одно замечание - выноски WFP - не единственный способ проникнуть в сетевой стек. Например, WinPCap взаимодействует с NDIS напрямую с драйвером, что означает, что у него есть шанс перехватить трафик, прежде чем вообще будет выполнена фильтрация.

Драйверы NDIS

WinPCap

Ссылки:

Стек TCP / IP следующего поколения в Vista +

Архитектура платформы фильтрации Windows

— Райан Райс
источник

Выдающиеся диаграммы. Они размещены где-нибудь на microsoft.com? Если это так, я хотел бы покопаться и посмотреть, какая другая информация доступна вместе с ними.

— EEAA

Идеальный ответ. Хорошо и легко объяснимо, отличная визуализация и предоставленные источники! Спасибо большое!

— Ханси

+1, стоит упомянуть, что на WFP встроен драйвер с открытым исходным кодом, который упрощает написание таких приложений под названием WinDivert . Я также написал для него .NET-оболочку .

Раньше было то, что было что-то под названием «Многоуровневый поставщик услуг» - где вы могли перехватывать и переписывать пакеты - есть ли какая-то замена для этой способности? Является ли это частью «фильтрующего» API? (Ой, подождите, не берите в голову: я только что посмотрел на ссылку WinDivert от @TechnikEmpire и увидел, что это возможно.)

— davidbak

@ davidbak Да, WinDivert - это своего рода гибрид. API драйвера выноски предназначены для разработчиков, чтобы создавать конкретные драйверы, которые могут делать что угодно, кроме простого отбрасывания пакета (не требует драйвера). WinDivert - это такой драйвер, но он универсален, предоставляя полный доступ к пакетам, выталкивая и выталкивая пакеты в ядро и пространство пользовательского режима.

Как говорит Райан Райс:

Например, WinPCap взаимодействует с NDIS напрямую с драйвером, что означает, что у него есть шанс перехватить трафик, прежде чем вообще будет выполнена фильтрация.

и это описание в документации WinPcap, как это работает .

Это было бы лучше в качестве редактирования ответа Райана. Это не ответ сам по себе.

— Легкость гонки с Моникой

На самом деле, да, это является ответом на его вопрос - больше, чем ответ Райана. Вопрос был «как это делает Wireshark»; Ответ Райана дает много информации о механизме, который WinPcap (который использует Wireshark) не использует, поэтому он, безусловно, интересен, но не имеет отношения к исходному вопросу. Ссылку я отправил описывает , как WinPcap это делает, что это отношение к первоначальному вопросу.

Возможно, если бы вы процитировали и объяснили соответствующие отрывки из стороннего ресурса. Если ничего, ответ только на ссылку не является ответом. Это политика SE. Все, что ваш ответ добавляет к этой странице, буквально, «есть описание того, как ответ Риса работает где-то еще в Интернете»

— Легкость Гонки с Моникой