Преодоление firewall'ов снаружи и изнутри
       

Существует по меньшей мере три


Существует по меньшей мере три документированных способа для перехвата трафика на NDIS уровне. Это, во-первых, NDIS Intermediate Driver (Промежуточный Драйвер NDIS), который садится между NDIS-драйвером и драйвером сетевой карты. Методика так себе. Писать целый драйвер ради одного перехвата — решение из разряда тяжеловесных, к тому же для работы с Dial-Up'ом приходится очень круто извращается, поэтому особой популярности промежуточный драйвер не сыскал (разработки брандмауэров, как ни странно, тоже люди и ничто человеческое им не чуждо). На всякий случай, если возникнет желание познакомится с ним поближе, всегда можно открыть раздел " Intermediate NDIS Drivers and TDI Drivers" из DDK.

Вторым идет "Filter-Hook Driver" (Драйвер Фильтра-Ловушки), представляющим из себя обычный kernel-mode драйвер, фильтрующий сетевые пакеты на уровне IP и работающий из-под палки. Microsoft категорически не рекомендует использовать его для брандмауэров и вот почему: всего лишь одна ловушка может быть установлена в системе, причем устанавливается она довольно "высоко" и к тому же зловредное приложение может легко отключить фильтрацию. Вот, что по этому поводу пишет DDK: "A firewall-hook driver did not meet firewall requirements because it ran too high in the network stack…. To provide firewall functionality on Windows XP and later, you should create an NDIS intermediate miniport driver to manage packets sent and received across a firewall". (Firewall-hook драйвер не удовлетворяет требованиям, предъявляемым к брандмауэру, поскольку он работает на слишком большой высоте в сетевом стеке… Для обеспечения надлежащего функционала на XP и выше, необходимо создать NDIS intermediate miniport драйвер, управляющий отправкой и приемом пакетов через брандмауэр). Но ведь находятся же такие чуки, которые используют firewall-hook драйвер как основное средство фильтрации!

Третьим и последним способом перехвата остается NDIS-Hooking Filter драйвер (так же называемый Pseudo-Intermediate NDIS Driver — псеводо-промежуточным NDIS драйвером или сокращенно PIM), перехватывающий некоторое подмножества функций библиотеки NDIS для отслеживания регистрации протоколов и открытия сетевых интерфейсов, незаслуженно раскритикованный разработчиками Outpost Firewall'а.

Содержание  Назад  Вперед






Forekc.ru
Рефераты, дипломы, курсовые, выпускные и квалификационные работы, диссертации, учебники, учебные пособия, лекции, методические пособия и рекомендации, программы и курсы обучения, публикации из профильных изданий