基于IMD的包过滤防火墙原理与实现

　　 
　　一、前言
　　
　　前段时间，在安全焦点上看到了一文《基于SPI的数据报过滤原理与实现》，很是不错。文章中提到的基于SPI的数据报拦截技术是在用户级的。用户级的拦截有其优势，实现方便、便于移植、通用性强，但是，用户级并不能得到所有的数据报。

本文提到的基于IMD的数据报过滤则是属于内核级的，它建立在网络驱动上面。
　　
　　二、中间层驱动技术介绍
　　
　　中间层驱动，英文为NDIS intermediate driver。
　　
　　1）内核级网络驱动介绍
　　
　　Microsoft Windows 2000支持三种基本的内核级网络驱动，这三层driver顺序从下到上依次为：
　　
　　1. Miniport NIC drivers：微端口网卡驱动，位于最底层，直接操纵网卡并且对高层驱动提供接口。
　　
　　2. Intermediate drivers：IMD中间层驱动，这就是今天的主角，位于1和3之间，具体的作用下面就会介绍。
　　
　　3. Protocol drivers：高层协议驱动，俗称为TDI（传输驱动程序接口），高于前面两层，直接面向用户级，为用户提供网络服务，也就是绝大多数程序所用到的网络接口。
　　
　　2）IMD驱动
　　
　　IMD中间层，它的实质很简单，最经典的描述莫过于下面的话：
　　
　　An intermediate driver is typically layered over one or more NDIS NIC drivers and under a transport driver (possibly multilayered) that supports TDI at its upper edge.
　　
　　An NDIS intermediate driver exports MiniportXxx functions at its upper edge and ProtocolXxx functions at its lower edge.（见DDK文档）
　　
　　中间层插入网卡和协议层之间，对上面的协议层表现为一个虚拟的微端口网卡结构，而对下面的网卡则表现为一个协议层的结构。所以，无论是网卡接收并上传的数据报，还是上层要下送至网卡发送的数据报，无一例外地要经过中间层。
　　
　　3）IMD包过滤技术
　　
　　前面我们已经看到，所有的数据报都要经过中间层，所以，我们可以在中间层加入我们想要过滤的数据报的特征，实现基于中间层驱动的内核级包过滤。
　　
　　这样做的优势非常明显，首先，在驱动级别上做过滤，无须组包，速度快，效率自然就高；其次，所有的数据报无一例外，只要网卡上传的数据报均可以截获，避免了用户级无法得到所有数据报的缺点。当然，世界上没有完美的事情。IMD包过滤技术也存在其不可避免的缺点，与操作系统版本关系密切，与硬件联系大，可移植性低。我在调试这个驱动的时候，就碰到了无数次蓝屏，无数次重启动，进了几次安全模式，甚至还为此重新安装了一次系统。
　　
　　正是由于上面的一些问题，现在市面上还没有见到有厂家推出基于IMD的实用型防火墙，大部分都是在实验室中的作品，或许真的是要做到通用性很难吧，不过还是希望能尽快见到这样的产品面世。
　　
　　三、passthru代码分析
　　
　　到这里，你或许已经非常想看看到底怎么来实现基于IMD的包过滤防火墙了，不过，你肯定会迟疑，如果让我们自己写整个中间层驱动的话，是不是有些太艰难了啊？况且，我只是个搞网络安全的，我不是专门写驱动的，让我完成一个驱动程序，还要对上层协议伪装成一个网卡，对下层伪装成一个协议层，这不是要命么？
　　
　　其实微软很不错的，在提出这项技术之后，其DDK中附带了一个中间层驱动的例程，就是passthru。passthru实现了一个中间层的基本功能，对下表现为一个协议层的驱动，对上表现为一个虚拟网卡，安装passthru驱动之后，你可以在硬件管理中的网卡中看到一个虚拟网卡。不过，passthru只是插入到网卡和上层协议中间，却未做任何工作，也就是说，passthru只是让所有的数据报原原本本地流经自己而已。我们要想实现中间层包过滤的功能，需要对passthru进行修改。
　　
　　想想我们要实现的包过滤的功能，我们只需要在中间层接收到数据报的时候进行规则判断就可以了，而在passthru中，接收数据报是用protocol.c文件中的PtReceive和PtReceivePacket这两个函数来实现的。根据微软的解释，微软建议接收包用PtReceivePacket函数，因为可以得到更高的效率，然而，为了向下兼容，也保留了PtReceive函数给老的网卡使用。所以，在一块网卡上，只可能有一个函数在工作，这要取决于你的网卡型号了。巧的是，我的两台机器的网卡应用的函数正巧不一样。同样是IBM的机器，一台P4 1.5G的机器的网卡是Realtek RTL8139(A) PCI Fast Ethernet Adapter，另外一台P4 2.0G的机器的网卡是Intel(R) PRO/100 VE Network Connection，其中Realtek网卡用的是PtReceive来接包，而Intel的网卡是用PtReceivePacket来接包。
　　
　　现在我们知道了哪个函数负责接收数据报，那么我们就可以对这个函数进行修改了。从兼容和通用性考虑，我们需要对PtReceive和PtReceivePacket函数进行修改，其中加上我们需要判断的规则进行过滤，下面就贴详细的代码了。
　　
　　四、部分演示代码
　　
　　我们的目的是在调用接受数据报函数的时候能执行我们的过滤代码，所以，我们要在函数代码中添加我们自己的代码，下面用过滤特定协议类型的数据报来做演示。
　　
　　首先修改PtReceive，看一下protocol.c文件中函数的代码，代码中用NdisGetReceivedPacket函数得到一个PNDIS_PACKET的结构Packet，数据报内容就存放在这个结构中的链表内。我们定义一个PUCHAR结构的pPacketContent，然后用下面的代码获得整个数据报的内容：
　　
　　//---------------------------------------------
　　 int PacketSize;
　　 PUCHAR pPacketContent;
　　 PUCHAR pBuf;
　　 UINT BufLength;
　　 MDL * pNext;
　　 UINT i;
　　
　　//把数据包内容从Packet拷贝到pPacketContent
　　NdisQueryPacket( Packet,NULL,NULL,NULL,&PacketSize);
　　Status= NdisAllocateMemory( &pPacketContent, 2000,
　　0,HighestAclearcase/" target="_blank" >cceptableMax);
　　if (Status!=NDIS_STATUS_SUCCESS ) return Status;
　　NdisZeroMemory (pPacketContent, 2000);
　　NdisQueryBufferSafe(Packet->Private.Head, &pBuf, &BufLength, 32 );
　　NdisMoveMemory(pPacketContent, pBuf, BufLength);
　　i = BufLength;
　　pNext = Packet->Private.Head;
　　for(;;)
　　{
　　if(pNext == Packet->Private.Tail)
　　break;
　　pNext = pNext->Next; //指针后移
　　if(pNext == NULL)
　　break;
　　NdisQueryBufferSafe(pNext,&pBuf,&BufLength,32);
　　NdisMoveMemory(pPacketContent+i,pBuf,BufLength);
　　i+=BufLength;
　　 }
　　 //数据拷贝完毕
　　 //-------------------------------------------------
　　
　　
　　
　　现在，我们已经在PtReceive函数中得到了数据报的内容，存放在pPacketContent中，数据报的格式你可以去查书。通常，在以太网中，得到的数据报大致是如下结构，以太帧头14个字节，放在pPacketContent[0]到pPacketContent[13]中，其中前六个字节是目的MAC地址，然后六个字节源MAC地址，然后两个字节是协议类型，通常的协议类型有0x08 0x00 ->IP，0x08 0x06 ->ARP，0x08 0x35 ->RARP，所以，可以通过pPacketContent[12]和pPacketContent[13]来判断协议类型。如果是IP包，然后pPacketContent中存放的是IP头，根据IP头的格式，可以得到第23个字节pPacketContent[23]表示传输层协议：1 ->ICMP，2 ->IGMP，6 ->TCP，17 ->UDP，剩下的就是数据报内容了。因为我们只是做演示，所以只要知道这几个标志性的就好了，其他的你可以根据你的需要扩展。我们通过pPacketContent中的内容可以做些规则，比如过滤ICMP包，我们只要比较pPacketContent[12]和pPacketContent[13]还有pPacketContent[23]这三个标志位就可以了，如果不是ICMP包，那么不做任何工作，如果匹配了，那就返回一个NDIS_STATUS_NOT_ACCEPTED，将包丢弃，释放pPacketContent，就可以过滤ICMP包了，下面就是过滤规则的代码。
　　
　　//---------------------------------------------------------
　　//规则标志位(1表示过滤,0表示放行,你可以通过改这个数值来配置规则）
　　UINT ICMP = 1; //ICMP数据报规则
　　UINT IGMP = 0; //IGMP数据报规则
　　UINT TCP = 0; //TCP数据报规则
　　UINT UDP = 0; //UDP数据报规则
　　//规则判断
　　 if (ICMP == 1)
　　 {
　　 if(((char *)pPacketContent)[12] == 8 &&
　　 ((char *)pPacketContent)[13] == 0 &&
　　 ((char *)pPacketContent)[23] == 1)
　　 {
　　 DbgPrint("ICMP被拦截!\n");
　　 NdisFreeMemory(pPacketContent, 2000, 0);
　　 return NDIS_STATUS_NOT_ACCEPTED;
　　 }
　　 }
　　if (IGMP == 1)
　　 {
　　 if(((char *)pPacketContent)[12] == 8 &&
　　 ((char *)pPacketContent)[13] == 0 &&
　　 ((char *)pPacketContent)[23] == 2)
　　 {
　　 DbgPrint("IGMP被拦截!\n");
　　 NdisFreeMemory(pPacketContent, 2000, 0);
　　 return NDIS_STATUS_NOT_ACCEPTED;
　　 }
　　 }
　　if (TCP == 1)
　　 {
　　if(((char *)pPacketContent)[12] == 8 &&
　　 ((char *)pPacketContent)[13] == 0 &&
　　((char *)pPacketContent)[23] == 6)
　　 {
　　 DbgPrint("TCP被拦截!\n");
　　 NdisFreeMemory(pPacketContent, 2000, 0);
　　return ND

原文转自：http://www.ltesting.net