基于Windows内核态个人防火墙的设计与实现

1、m国学nr发叢网www.qikanwang.na论文发表专家基于Windows内核态个人防火墙的设计与实现摘要：为了提高防火墙对非法数据包的拦截能力，增强windows主机上网的安全性，设计并实现了一个基于windows内核态的个人防火墙。它由应用程序和驱动程序2部分组成，其中应用程序负责对数据包进行实时监控以及安全规则实现，并向用户报告防火墙的运行状态或安全事件；基于ndis中间层驱动程序对数据包进行拦截，采用设备输入和输出控制（ioctl）方法实现内核态进程与用户态进程间的通信。测试结果表明，该防火墙能在windows平台下稳定运行，能够有效拦截非法数据包。关键词：防火墙；ndis；中间层

2、驱动；passthru；进程间通引言防火墙在网络安全防护中具有重要作用，从应用的角度来看，防火墙可以分为企业级防火墙和个人防火墙1。前者主要是部署在内、外部网络的边界，对内、外部网络实施隔离，从而保护内部网络的安全：而后者则通过纯软件的方式来实现，安装在个人电脑中，通过对网络数据包拦截、规则的设置和匹配及对网络行为的处理（允许或禁止）来达到保护网络安全的目的。目前，windows操作系统已广泛应用在个人电脑中，基于windwos的个人防火墙技术已经相对成熟，市场上各类产品也很多，国外较署名的产品有：kasperskyantihacker,mcafree,norton匸交发表专家一m国学朮发叢网

3、personalfirewall,zonealarmpro禾口outpostfirewallpro等，国内产品中常见的有天网、金山和瑞星等。这些个人防火墙的核心区别在于windows环境下网络数据包拦截方法，通常数据包的拦截可以在windows用户态和核心态进行，在用户态采用winsock2spi拦截http，ftp，telnet和pop3等应用层协议网络数据包，这种方法效率较高，容易进行数据包内容过滤，但它只能在winsock层次上拦截网络数据包，拦截能力较弱；与用户态相比，在内核态的数据包拦截能力更强，主要的方法有2:基于tdi传输驱动程序(transportdriversinterfac

4、e)、基于ndis钩子驱动(ndishookdriver)和基于ndis中间层驱动3等。由于tdi只实现了ip,tcp,udp等协议，对底层协议的数据包也无能为力；ndis钩子通过向ndis.sys注册一个假协议，然后利用接收数据的派遣函数的地址进行挂接后实现数据包拦截，但这种技术对平台的依赖性比较大，需要针对不同的系统平台采用不同的结构。而ndis中间层驱动位于协议驱动层和小端口驱动之间，它能够截获所有的网络数据包。虽然该方法在技术实现上较为复杂，目前的个人防火墙产品仍然较少采用。但是，由于其功能强大，过滤效率高，它依然是未来个人防火墙发展趋势。本文深入研究基于ndis中间层驱动的数据包拦截

5、方法以及windows内核态驱动程序与用户态应用程序间的通信机制，设计并实现了一种基于windows内核态的个人防火墙系统，它由应用程序匸交发表专家一LB国学朮发叢网和驱动程序2部分构成，其中，驱动程序负责对非法数据包进行拦截过滤；应用程序负责对数据包进行实时监控，并向用户报告检测1windows个人防火墙系统结构1.1系统结构该防火墙由运行于用户态的应用程序和运行于核心态的驱动过滤2部分构成，两者之间采用共享内存的方式进行通信，具有arp欺骗攻击检测与防御、检测与防御dns欺骗和检测网页木马等功能。其系统结构如图1所示，用户态的应用程序通过监控并分析进出网卡接口的数据包，以决定是否将该数据包

6、的发送者列入黑名单并向用户报告。此外，应用程序还是防火墙的gui部分，负责向用户实时报告结果，提供过滤规则参数设置界面。图1windows个人防火墙系统结构1.2功能描述本防火墙实现以下基本功能：（1）能对arp攻击、dns欺骗和常见的网页木马进行检测和抵御，发现非授权的请求后应能立即拒绝，随时保护上网主机的安全。（2）提供一系列安全规则设置，允许或禁止特定主机的相关服务，用户可根据实际情况修改安全规则或建立黑名单。驱动程序根据安全规则及黑名单进行数据包过滤。（3）将所有被拦截的访问记录的详细信息写入日志，供用户查询或追踪攻击源匸交发表专家一LB国学朮发叢网2windows个人防火墙的关键技术

7、实现2.1驱动程序设计ndis中间层过滤驱动(ndisintermediatedriver)位于网卡驱动和协议驱动之间4,其2个接口：miniport接口和protocol接口，所有网络数据包均流经ndis中间层。passthru5是microsoft公司在windowsddk6中提供的一个nids中间层驱动的开发框架，本防火墙的驱动部分就是在该框架的基础上实现的，其主要的作用是根据已定的规则和黑名单对非法数据进行过滤。2.1.1数据包的获取非法数据包的过滤是在驱动程序中实现的。在passthru中负责接收数据的派遣例程有2个，分别是ptreceive和ptreceivepacket。在ptr

8、eceive禾口ptreceivepacket两个例程中调用获取数据包例程ptgetpacketcontent,ptgetpacketcontent例程如下：2.2应用程序设计应用程序是防火墙的gui部分，负责向用户报告结果和提示操作的界面。应用程序对数据包监控分析及过滤规则的设置，用户通过防火墙安全规则的设定，向数据包拦截模块传递规则。实时显示数据包的过滤和黑名单的拦截情况。论文发表专家一m国学朮发丢网应用程序部分的核心类共包含：arpptuidlg,capture,detect,checkdefenddnstoof和checkhetspy等5个类，如图2所示。其中:(1) arpptuid

9、lg:防火墙系统总调度显示类，负责其他所有类的创建和相互调度；(2) capture:捕获数据包类，负责捕获数据包；(3) detect:检测防御arp攻击7类，该类接受capture类捕获的arp数据包，并对数据包进行检测分析；(4) checkdefenddnstoof:检测防御dns欺骗类，该类接受capture类捕获的dns数据包，并对数据包进行检测分析；(5) checkhetspy:检测网页木马类，该类接受capture类捕获的http数据包，并对数据包进行检测分析。图2应用程序主要类图2.3驱动程序和应用程序的通信个人防火墙不仅要实现对网络数据包的拦截，还要分析数据包后，根据设定

10、的规则对数据包进行处理，并将保存日志。因此，驱动程序和应用程序就要进行通信以达到信息的交互。驱动程序和应用程序之间通过共享内存的方式实现通信，两者间的内存共享有2种实现方法89是通过共享内存对象方法来实现，另一种是通过设备输入和输出控制(ioctl)方法来实现。本文的防火墙采用驱动定义的ioctl方法。ioctl值是个32位的无符号整数。ddk(driverdevelopmentkits)提供一个ctl_code，其定义如下：ctl_code(devicetype,function,method,access)匸交发表专家一m国学朮发叢网其中devicetype指定设备对象的类型，这个类型应和

11、创建设备时的类型相匹配。一般是形如file_device_xxx的宏；function指的是驱动程序定义的ioctl码，而0x0000x7ff为微软保留，0x8000xfff由程序员自己定义；method是指操作模式，由method_buffered、methodn_direct,method_out_direct禾口method_neither其中之一组成；access为访问权限10。如ioctl的定义如下：#defineioctl_ptuserio_pass_event_ptuserio_ctl_code(0x1005,method_buffered,file_read_access|fi

12、le_write_access)上述ioctl定义是将事件信号传递给驱动，使用缓冲区方式操作，可读写。定义ioctl之后，应用程序通过调用win32apideviceiocontrol例程与驱动程序相互通信。deviceiocontrol的声明如下：驱动中的派遣例程按照以下步骤完成用户的请求：(1) 从irp结构中获取iocontrolcode，判断用户当前发出的是哪一个请求；(2) 从irp结构中获取用户传递过来的参数(可选)；(3) 按用户的要求完成相关操作；(4) 调用iocompleterequest向i/o管理器指示已完成用户的m国学朮sbpj论文发表专家一请求。3系统测试首先在wi

13、ndowsxp环境下安装该防火墙，为了完成测试工作，自行编写了attacker（arp攻击程序）和dnscheat（dns攻击程序）并在网页中嵌入木马程序。该防火墙启动界面如图3所示。图3防火墙运行状态因篇幅有限，下面仅以arp攻击为例说明测试过程，用于测试的主机ip地址为5，mac地址为0123456789ab;网关ip地址为54，mac地址为00269eab86cc。启动attacker程序，依次进行以下攻击行为冒充网关；攻击者散布虚假arp广播报文；非法扫描主机；防火墙的响应分别如图4图6所示。图4冒充网关攻击响应从图中可以看出，该防火墙在wi

14、ndows平台下运行稳定，能够对各种arp攻击、dns攻击和常见木马病毒等攻击行为进行检测和处理，将可疑的主机地址加入黑名单并将结果报告给用户，能有效保护windows主机的上网安全。图5散布虚假arp广播报文攻击响应图6非法扫描攻击响应4结防火墙是解决用户上网安全问题的一种重要技术手段。本文基于windows内核态讨论并给出了个人防火墙关键技术的设计及实现过程，在局域网（以太网）中通过自行编写的攻击程序进行了arp攻击、dns攻击和网页木马病毒等进行了测试，结果表明，该防火墙论文发表专家一m国学朮发舌网www,qikanwang.n巳t运行稳定，能够有效拦截非法数据包，达到了预期的设计目标。下一步研究工作还需要在此基础上集成更多的防御网络攻击的功能，提高中间层驱动过滤程序的工作效率，进一步降低防火墙对网络接口数据传输性能的影响。参考文献1 noonanw,dubrawskyi.防火墙基础mH.陈麒帆,译.北京：人民邮电出版社，2007.2 程克勤，邓林，王继波，等.基于应用层的win