1、 基于 Windows 内核态个人防火墙的设计与实现摘要:为了提高防火墙对非法数据包的拦截能力,增强 windows主机上网的安全性,设计并实现了一个基于 windows 内核态的个人防火墙。它由应用程序和驱动程序 2 部分组成,其中应用程序负责对数据包进行实时监控以及安全规则实现,并向用户报告防火墙的运行状态或安全事件;基于 ndis 中间层驱动程序对数据包进行拦截,采用设备输入和输出控制(ioctl)方法实现内核态进程与用户态进程间的通信。测试结果表明,该防火墙能在 windows平台下稳定运行,能够有效拦截非法数据包。关键词:防火墙; ndis; 中间层驱动; passthru; 进程间
2、通信引言防火墙在网络安全防护中具有重要作用,从应用的角度来看,防火墙可以分为企业级防火墙和个人防火墙1 。前者主要是部署在内、外部网络的边界,对内、外部网络实施隔离,从而保护内部网络的安全:而后者则通过纯软件的方式来实现,安装在个人电脑中,通过对网络数据包拦截、规则的设置和匹配及对网络行为的处理(允许或禁止)来达到保护网络安全的目的。目前,windows 操作系统已广泛应用在个人电脑中,基于 windwos 的个人防火墙技术已经相对成熟,市场上各类产品也很多,国外较署名的产品有:kaspersky anti hacker ,mcafree,norton personal firewall,zo
3、nealarm pro 和 outpost firewall pro 等,国内产品中常见的有天网、金山和瑞星等。这些个人防火墙的核心区别在于 windows 环境下网络数据包拦截方法,通常数据包的拦截可以在 windows 用户态和核心态进行,在用户态采用 winsock2 spi 拦截 http,ftp,telnet 和 pop3 等应用层协议网络数据包,这种方法效率较高,容易进行数据包内容过滤,但它只能在 winsock层次上拦截网络数据包,拦截能力较弱;与用户态相比,在内核态的数据包拦截能力更强,主要的方法有2:基于 tdi 传输驱动程序(transport drivers interf
4、ace) 、基于 ndis 钩子驱动(ndis hook driver)和基于 ndis 中间层驱动3等。由于 tdi只实现了 ip,tcp,udp 等协议,对底层协议的数据包也无能为力;ndis 钩子通过向 ndis.sys 注册一个假协议,然后利用接收数据的派遣函数的地址进行挂接后实现数据包拦截,但这种技术对平台的依赖性比较大,需要针对不同的系统平台采用不同的结构。而ndis 中间层驱动位于协议驱动层和小端口驱动之间,它能够截获所有的网络数据包。虽然该方法在技术实现上较为复杂,目前的个人防火墙产品仍然较少采用。但是,由于其功能强大,过滤效率高,它依然是未来个人防火墙发展趋势。本文深入研究基
5、于 ndis 中间层驱动的数据包拦截方法以及windows 内核态驱动程序与用户态应用程序间的通信机制,设计并实现了一种基于 windows 内核态的个人防火墙系统,它由应用程序和驱动程序 2 部分构成,其中,驱动程序负责对非法数据包进行拦截过滤;应用程序负责对数据包进行实时监控,并向用户报告检测结果。1windows 个人防火墙系统结构1.1 系统结构该防火墙由运行于用户态的应用程序和运行于核心态的驱动过滤 2 部分构成,两者之间采用共享内存的方式进行通信,具有 arp欺骗攻击检测与防御、检测与防御 dns 欺骗和检测网页木马等功能。其系统结构如图 1 所示,用户态的应用程序通过监控并分析进
6、出网卡接口的数据包,以决定是否将该数据包的发送者列入黑名单并向用户报告。此外,应用程序还是防火墙的 gui 部分,负责向用户实时报告结果,提供过滤规则参数设置界面。图 1 windows 个人防火墙系统结构 1.2 功能描述本防火墙实现以下基本功能:(1) 能对 arp 攻击、dns 欺骗和常见的网页木马进行检测和抵御,发现非授权的请求后应能立即拒绝,随时保护上网主机的安全。(2) 提供一系列安全规则设置,允许或禁止特定主机的相关服务,用户可根据实际情况修改安全规则或建立黑名单。驱动程序根据安全规则及黑名单进行数据包过滤。(3) 将所有被拦截的访问记录的详细信息写入日志,供用户查询或追踪攻击源
7、。2windows 个人防火墙的关键技术实现2.1 驱动程序设计ndis 中间层过滤驱动(ndis intermediate driver)位于网卡驱动和协议驱动之间4 ,其 2 个接口:miniport 接口和protocol 接口,所有网络数据包均流经 ndis 中间层。passthru5是 microsoft 公司在 windows ddk6中提供的一个 nids 中间层驱动的开发框架,本防火墙的驱动部分就是在该框架的基础上实现的,其主要的作用是根据已定的规则和黑名单对非法数据进行过滤。2.1.1 数据包的获取非法数据包的过滤是在驱动程序中实现的。在 passthru 中负责接收数据的派
8、遣例程有 2 个,分别是 ptreceive 和ptreceivepacket。在 ptreceive 和 ptreceivepacket 两个例程中调用获取数据包例程 ptgetpacketcontent,ptgetpacketcontent例程如下:2.2 应用程序设计应用程序是防火墙的 gui 部分,负责向用户报告结果和提示操作的界面。应用程序对数据包监控分析及过滤规则的设置,用户通过防火墙安全规则的设定,向数据包拦截模块传递规则。实时显示数据包的过滤和黑名单的拦截情况。应用程序部分的核心类共包含:arpptuidlg,capture,detect,checkdefenddnstoof
9、和checkhetspy 等 5 个类,如图 2 所示。其中:(1) arpptuidlg:防火墙系统总调度显示类,负责其他所有类的创建和相互调度;(2) capture:捕获数据包类,负责捕获数据包;(3) detect:检测防御 arp 攻击7类,该类接受 capture类捕获的 arp 数据包,并对数据包进行检测分析;(4) checkdefenddnstoof:检测防御 dns 欺骗类,该类接受capture 类捕获的 dns 数据包,并对数据包进行检测分析;(5) checkhetspy:检测网页木马类,该类接受 capture 类捕获的 http 数据包,并对数据包进行检测分析。图
10、 2 应用程序主要类图 2.3 驱动程序和应用程序的通信个人防火墙不仅要实现对网络数据包的拦截,还要分析数据包后,根据设定的规则对数据包进行处理,并将保存日志。因此,驱动程序和应用程序就要进行通信以达到信息的交互。驱动程序和应用程序之间通过共享内存的方式实现通信,两者间的内存共享有 2 种实现方法8 9 是通过共享内存对象方法来实现,另一种是通过设备输入和输出控制(ioctl)方法来实现。本文的防火墙采用驱动定义的 ioctl 方法。ioctl 值是个 32 位的无符号整数。ddk(driver development kits)提供一个 ctl_code,其定义如下:ctl_code(dev
11、icetype,function,method,access)其中 devicetype 指定设备对象的类型,这个类型应和创建设备时的类型相匹配。一般是形如 file_device_xxx 的宏;function指的是驱动程序定义的 ioctl 码,而 0x0000x7ff 为微软保留,0x8000xfff 由程序员自己定义;method 是指操作模式,由method_buffered、method_in_direct,method_out_direct 和method_neither 其中之一组成;access 为访问权限10 。如ioctl 的定义如下:#define ioctl_ptus
12、erio_pass_event_ptuserio_ctl_code (0x1005,method_buffered,file_read_access | file_write_access)上述 ioctl 定义是将事件信号传递给驱动,使用缓冲区方式操作,可读写。定义 ioctl 之后,应用程序通过调用 win32api deviceiocontrol 例程与驱动程序相互通信。deviceiocontrol 的声明如下:驱动中的派遣例程按照以下步骤完成用户的请求:(1) 从 irp 结构中获取 iocontrolcode,判断用户当前发出的是哪一个请求;(2) 从 irp 结构中获取用户传递过
13、来的参数(可选) ;(3) 按用户的要求完成相关操作;(4) 调用 iocompleterequest 向 i/o 管理器指示已完成用户的请求。3 系统测试首先在 windows xp 环境下安装该防火墙,为了完成测试工作,自行编写了 attacker(arp 攻击程序)和 dnscheat(dns 攻击程序)并在网页中嵌入木马程序。该防火墙启动界面如图 3 所示。图 3 防火墙运行状态因篇幅有限,下面仅以 arp 攻击为例说明测试过程,用于测试的主机 ip 地址为 192.168.9.45,mac 地址为01 23 45 67 89 ab ;网关 ip 地址为 192.168.9.254,m
14、ac地址为 00 26 9e ab 86 cc 。启动 attacker 程序,依次进行以下攻击行为冒充网关;攻击者散布虚假 arp 广播报文;非法扫描主机;防火墙的响应分别如图 4图 6 所示。图 4 冒充网关攻击响应从图中可以看出,该防火墙在 windows平台下运行稳定,能够对各种 arp 攻击、dns 攻击和常见木马病毒等攻击行为进行检测和处理,将可疑的主机地址加入黑名单并将结果报告给用户,能有效保护 windows 主机的上网安全。图 5 散布虚假 arp 广播报文攻击响应图 6 非法扫描攻击响应 4结语防火墙是解决用户上网安全问题的一种重要技术手段。本文基于 windows 内核态
15、讨论并给出了个人防火墙关键技术的设计及实现过程,在局域网(以太网)中通过自行编写的攻击程序进行了arp 攻击、dns 攻击和网页木马病毒等进行了测试, 结果表明,该防火墙运行稳定,能够有效拦截非法数据包,达到了预期的设计目标。下一步研究工作还需要在此基础上集成更多的防御网络攻击的功能,提高中间层驱动过滤程序的工作效率,进一步降低防火墙对网络接口数据传输性能的影响。参考文献1noonan w, dubrawsky i.防火墙基础m.陈麒帆,译.北京:人民邮电出版社,2007.2程克勤,邓林,王继波,等.基于应用层的 windows 个人防火墙的设计与实现j.合肥工业大学学报:自然科学版,2010,34(5):695 699.3谭文,杨潇,邵坚磊,等.windows 内核安全编程m.北京:电子工业出版社,2009.4hou gong hua, zhao yuan dong. research and design of packet filtering based on ndis intermediate driver j. control & automation, 2006, 22(12): 141 143.
