内核过滤数据包

❶ Linux内核怎么处理数据包

/*正常传输流程*/

/*高层协议dev_queue_xmit(skb)发送数据报文*/

static int pppoe_sendmsg(struct kiocb *iocb, struct socket *sock, struct msghdr *m, size_t total_len)
{
` skb = sock_wmalloc(sk, total_len + dev->hard_header_len + 32, 0, GFP_KERNEL);
if (!skb) {
error = -ENOMEM;
goto end;
}

//......

dev_queue_xmit(skb);

end:
release_sock(sk);
return error;
}

/*正常传输流程*/
int dev_queue_xmit(struct sk_buff *skb)
{
struct net_device *dev = skb->dev; /*得到网络设备*/
struct Qdisc *q;

/*选取net_device中的_tx队列*/
txq = dev_pick_tx(dev, skb);
{
txq = &dev->_tx[index]
}

/*取得Qdisc*/
q = rcu_dereference(txq->qdisc);
{
q = dev->_tx[index]->qdisc;
}

if (q->enqueue)

❷ 数据包过滤的功能

数据包过滤的功能通常被整合到路由器或网桥之中来限制信息的流通。数据包过滤器使得管理员能够对特定协议的数据包进行控制，使得它们只能传送到网络的局部;能够对电子邮件的域进行隔离;能够进行其它的数据包传输上的管控功能。
数据包过滤器是防火墙中应用的一项重要功能，它对 IP 数据包的报头进行检查以确定数据包的源地址、目的地址和数据包利用的网络传输服务。传统的数据包过滤器是静态的，仅依照数据包报头的内容和规则组合来允许或拒绝数据包的通过。侵入检测系统利用数据包过滤技术和通过将数据包与预先定义的特征进行匹配的方法来分析各种数据包，然后对可能的网络黑客和入侵者予以警告。
在网络嗅探、协议分析器或数据包分析器中，数据包过滤器也是一个关键的工具。许多网络嗅探工具拥有多种过滤器类型，因此使得用户能够对数据包进行过滤并查看它们的传输情况。

❸ VC++实现防火墙功能，拦截特定数据包

我没做过驱动，只能给你个思路。
现在的网游都对函数拦截进行了检测，用一般的API函数拦截很难成功抓包的。
但是，网游程序不可能限制到内核的网卡驱动。
所以，你可以从NDIS驱动下手，做一个过滤驱动，拦截到数据包进行分析。
driverdevelop网站有很多这些资料，lz可以上去看看

❹ 最简单的数据包过滤方式是什么

一个最简单的数据包过滤方式,它按照源地址进行过滤

❺ winpcap是什么可以删除吗

winpcap是公共的网络访问系统，可以卸载。

winpcap是什么：

winpcap是(windows packet capture)是windows平台下一个免费，公共的网络访问系统。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。它用于windows系统下的直接的网络编程。

winpcap能否卸载：

Winpcap是一个免费公开的软件系统。它用于windows系统下的直接的网络编程。它是可以卸载的。

winpcap卸载不干净的解决方法：

winpcap卸载不干净的的时候，在windows下删除一些文件即可，删除下面的文件即可

c:windowssystem32Packet.dllc:windowssystem32drivers/npf.sys

c:windowssystem32WanPacket.dll；c:windowssystem32wpcap.dll

c:windowssystem32pthreadVC.dll 。

(5)内核过滤数据包扩展阅读：

开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。用于windows系统下的直接的网络编程。

Winpcap一个内核级别的packet filter，一个底层的DLL(packet.dll)和一个高级的独立于系统的DLL（Wpcap.dll）。

winpcap的于独立于主机协议（如TCP-IP)而发送和接收原始数据包。winpcap不能阻塞，过滤或控制其他应用程序数据包的发收，仅仅只是监听共享网络上传送的数据包。因此，不能用于QoS调度程序或个人防火墙。

winpcap开发的主要对象是windows NT/2000/XP，这主要是因为在使用winpcap的用户中只有一小部分是仅使用windows 95/98/Me，并且MS也已经放弃了对win9x的开发。

❻ 怎么在windows下过滤TCP/IP数据包

IP地址和端口被称作套接字，它代表一个TCP连接的一个连接端。为了获得TCP服务，必须在发送机的一个端口上和接收机的一个端口上建立连接。TCP连接用两个连接端来区别，也就是（连接端1，连接端2）。连接端互相发送数据包。
一个TCP数据包包括一个TCP头，后面是选项和数据。一个TCP头包含6个标志位。它们的意义分别为：
SYN: 标志位用来建立连接，让连接双方同步序列号。如果SYN＝1而ACK=0，则表示该数据包为连接请求，如果SYN=1而ACK=1则表示接受连接。
FIN: 表示发送端已经没有数据要求传输了，希望释放连接。
RST: 用来复位一个连接。RST标志置位的数据包称为复位包。一般情况下，如果TCP收到的一个分段明显不是属于该主机上的任何一个连接，则向远端发送一个复位包。
URG: 为紧急数据标志。如果它为1，表示本数据包中包含紧急数据。此时紧急数据指针有效。
ACK: 为确认标志位。如果为1，表示包中的确认号时有效的。否则，包中的确认号无效。
PSH: 如果置位，接收端应尽快把数据传送给应用层。

TCP连接的建立
TCP是一个面向连接的可靠传输协议。面向连接表示两个应用端在利用TCP传送数据前必须先建立TCP连接。 TCP的可靠性通过校验和，定时器，数据序号和应答来提供。通过给每个发送的字节分配一个序号，接收端接收到数据后发送应答，TCP协议保证了数据的可靠传输。数据序号用来保证数据的顺序，剔除重复的数据。在一个TCP会话中，有两个数据流（每个连接端从另外一端接收数据，同时向对方发送数据），因此在建立连接时，必须要为每一个数据流分配ISN（初始序号）。为了了解实现过程，我们假设客户端C希望跟服务器端S建立连接，然后分析连接建立的过程（通常称作三阶段握手）：
1： C --SYN XXà S
2： C ?-SYN YY/ACK XX+1------- S
3： C ----ACK YY+1--à S
1：C发送一个TCP包（SYN 请求）给S，其中标记SYN（同步序号）要打开。SYN请求指明了客户端希望连接的服务器端端口号和客户端的ISN（XX是一个例子）。
2：服务器端发回应答，包含自己的SYN信息ISN（YY）和对C的SYN应答，应答时返回下一个希望得到的字节序号（YY+1）。
3：C 对从S 来的SYN进行应答，数据发送开始。

一些实现细节
大部分TCP/IP实现遵循以下原则：
1：当一个SYN或者FIN数据包到达一个关闭的端口，TCP丢弃数据包同时发送一个RST数据包。
2：当一个RST数据包到达一个监听端口，RST被丢弃。
3：当一个RST数据包到达一个关闭的端口，RST被丢弃。
4：当一个包含ACK的数据包到达一个监听端口时，数据包被丢弃，同时发送一个RST数据包。
5：当一个SYN位关闭的数据包到达一个监听端口时，数据包被丢弃。
6：当一个SYN数据包到达一个监听端口时，正常的三阶段握手继续，回答一个SYN ACK数据包。
7：当一个FIN数据包到达一个监听端口时，数据包被丢弃。"FIN行为"（关闭得端口返回RST，监听端口丢弃包），在URG和PSH标志位置位时同样要发生。所有的URG，PSH和FIN，或者没有任何标记的TCP数据包都会引起"FIN行为"。

二：全TCP连接和SYN扫描器
全TCP连接
全TCP连接是长期以来TCP端口扫描的基础。扫描主机尝试（使用三次握手）与目的机指定端口建立建立正规的连接。连接由系统调用connect()开始。对于每一个监听端口，connect()会获得成功，否则返回－1，表示端口不可访问。由于通常情况下，这不需要什么特权，所以几乎所有的用户（包括多用户环境下）都可以通过connect来实现这个技术。
这种扫描方法很容易检测出来（在日志文件中会有大量密集的连接和错误记录）。Courtney,Gabriel和TCP Wrapper监测程序通常用来进行监测。另外，TCP Wrapper可以对连接请求进行控制，所以它可以用来阻止来自不明主机的全连接扫描。
TCP SYN扫描
在这种技术中，扫描主机向目标主机的选择端口发送SYN数据段。如果应答是RST，那么说明端口是关闭的，按照设定就探听其它端口；如果应答中包含SYN和ACK，说明目标端口处于监听状态。由于所有的扫描主机都需要知道这个信息，传送一个RST给目标机从而停止建立连接。由于在SYN扫描时，全连接尚未建立，所以这种技术通常被称为半打开扫描。SYN扫描的优点在于即使日志中对扫描有所记录，但是尝试进行连接的记录也要比全扫描少得多。缺点是在大部分操作系统下，发送主机需要构造适用于这种扫描的IP包，通常情况下，构造SYN数据包需要超级用户或者授权用户访问专门的系统调用。

三：秘密扫描与间接扫描
秘密扫描技术
由于这种技术不包含标准的TCP三次握手协议的任何部分，所以无法被记录下来，从而不比SYN扫描隐蔽得多。另外，FIN数据包能够通过只监测SYN包的包过滤器。
秘密扫描技术使用FIN数据包来探听端口。当一个FIN数据包到达一个关闭的端口，数据包会被丢掉，并且回返回一个RST数据包。否则，当一个FIN数据包到达一个打开的端口，数据包只是简单的丢掉（不返回RST）。
Xmas和Null扫描是秘密扫描的两个变种。Xmas扫描打开FIN，URG和PUSH标记，而Null扫描关闭所有标记。这些组合的目的是为了通过所谓的FIN标记监测器的过滤。
秘密扫描通常适用于UNIX目标主机，除过少量的应当丢弃数据包却发送reset信号的操作系统（包括CISCO，BSDI，HP/UX，MVS和IRIX）。在Windows95/NT环境下，该方法无效，因为不论目标端口是否打开，操作系统都发送RST。
跟SYN扫描类似，秘密扫描也需要自己构造IP 包。
间接扫描
间接扫描的思想是利用第三方的IP（欺骗主机）来隐藏真正扫描者的IP。由于扫描主机会对欺骗主机发送回应信息，所以必须监控欺骗主机的IP行为，从而获得原始扫描的结果。间接扫描的工作过程如下：
假定参与扫描过程的主机为扫描机，隐藏机，目标机。扫描机和目标记的角色非常明显。隐藏机是一个非常特殊的角色，在扫描机扫描目的机的时候，它不能发送任何数据包（除了与扫描有关的包）。

❼ 路由器如何进行数据包过滤

数据包是TCP/IP协议通信传输中的数据单位，局域网中传输的不是“帧”吗?
但是TCP/IP协议是工作在OSI模型第三层(网络层)、第四层(传输层)上的，而帧是工作在第二层(数据链路层)。
上一层的内容由下一层的内容来传输，所以在局域网中，“包”是包含在“帧”里的。
一、数据包过滤有时也称为静态数据包过滤，它通过分析传入和传出的数据包以及根据既定标准传递或阻止数据包来控制对网络的访问，当路由器根据过滤规则转发或拒绝数据包时，它便充当了一种数据包过滤器。
当数据包到达过滤数据包的路由器时，路由器会从数据包报头中提取某些信息，根据过滤规则决定该数据包是应该通过还是应该丢弃。数据包过滤工作在开放式系统互联 (OSI) 模型的网络层，或是 TCP/IP 的 Internet 层。
二、作为第3层设备，数据包过滤路由器根据源和目的 IP 地址、源端口和目的端口以及数据包的协议，利用规则来决定是应该允许还是拒绝流量。这些规则是使用访问控制列表 (ACL) 定义的。
三、相信您还记得，ACL 是一系列 permit 或 deny 语句组成的顺序列表，应用于 IP 地址或上层协议。ACL 可以从数据包报头中提取以下信息，根据规则进行测试，然后决定是“允许”还是“拒绝”。
四、简单的说，你上网打开网页，这个简单的动作，就是你先发送数据包给网站，它接收到了之后，根据你发送的数据包的IP地址，返回给你网页的数据包，也就是说，网页的浏览，实际上就是数据包的交换。
1、数据链路层对数据帧的长度都有一个限制，也就是链路层所能承受的最大数据长度，这个值称为最大传输单元，即MTU。以以太网为例，这个值通常是1500字节。
2、对于IP数据包来讲，也有一个长度，在IP包头中，以16位来描述IP包的长度。一个IP包，最长可能是65535字节。
3、结合以上两个概念，第一个重要的结论就出来了，如果IP包的大小，超过了MTU值，那么就需要分片，也就是把一个IP包分为多个。
数据包的结构与我们平常写信非常类似，目的IP地址是说明这个数据包是要发给谁的，相当于收信人地址;
源IP地址是说明这个数据包是发自哪里的，相当于发信人地址，而净载数据相当于信件的内容，正是因为数据包具有这样的结构，安装了TCP/IP协议的计算机之间才能相互通信。
在使用基于TCP/IP协议的网络时，网络中其实传递的就是数据包。

❽ 如何实现NAT，已经理解原理了，但是如何过滤包

家用路由器本身就带有这个功能的nat,网络地址转换的意思.就是实现内部专用网公专用一个或多个外属网地址上网有动态nat,有静态nat和端口nat动态nat就是有一个地址池,里面有一定的Internet地址动态地分配给局域网内部用户轮流上网,某个用户不用上网时就自动释放地址,让别的用户可以用Internet地址上网静态nat就是把内部网的某部主机永久地映射到外网的一个固定地址实现上网这个链接有讲

❾ 简述防火墙如何进行网络数据包过滤的

数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过回滤逻辑， 被称为答访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素，或它们的组合来确定是否允许该数据包通过。
数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击； 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。