网络监控,是对网络或者网络设备的检测和控制。按照最关键的核心驱动程序不同,网络监控软件实现可以分成三大类:
网络监控
- 采用WINPCAP驱动实现
Winpcap是Windows平台下,开源的网络访问系统。Winpcap是windows环境中链路层网络访问的行业标准工具,允许应用程序绕过协议栈捕获和传输网络数据包,包括内核级数据包过滤、网络统计引擎和支持远程抓包。WinPcap 由一个扩展操作系统以提供低级网络访问的驱动程序和一个用于轻松访问低级网络层的库组成。该项目用于windows系统下的直接网络编程,为win32应用程序提供访问网络底层的方法。一般的监控软件是在winpcap驱动程序的基础上加上自己产品的平台界面大同小异。winpcap有以下特点:在大数据量的情况下容易丢包;UDP协议传输,采用旁听模式;即使被你的应用程序截取后,数据包也会继续往上层传递,数据包不受影响,但在安装APR的防火墙下失效。Winpcap驱动是在数据链层受高层防火墙的管理因此效率低。
ISO七层模型
WINPCAP组成图
- 采用NDIS中间驱动
NDIS全称是网络驱动程序接口规范 (Network Driver Interface Specification)的简称。NDIS是一种Windows规范,用于说明通信协议程序(如TCP / IP)和网络设备驱动程序应如何相互通信。wincap是一个Ndis协议驱动,我们可以趋利避害,编写Ndis中间层过滤驱动。目前国内比较好的优UserSafe终端安全管理系统软件(usersafe.cn)
(NDIS模型示意图)
- 自主研发的核心抓包驱动程序
自主研发核心抓包驱动是基于安全考虑,对产品的保密级别要求高,产品可控性强,可以根据自己的要求添加新的功能。不考虑使用以上两种方式。
,
