0

これまで読んだことですが、winPcapを使用すると、OSをバイパスし、TCPのアプリケーションおよびトランスポート層の処理をバイパスして、リンク層に直接アクセスできます。

私はwinpcapを使用して、スニッフィングだけでなく、ユーザーアプリケーションの処理を行うことを計画しています。現在ソケット経由で行っているpcapを使用して、重要な情報を送受信します。

OSをバイパスすること、そして私の理解によれば、私の側のアプリケーション層とトランスポート層にはリスクが伴いますか?

副次的な質問として、これまでに見つけたwinpcapのドキュメントでは、プログラムで実装する方法について説明していますが、バイパスしているものとその方法については詳しく説明していません。それへのリンクは役に立ちます。

また、監視上の理由とmsnのために、ネットワークスニッフィング以外の目的でwinpcapを使用している人がいるかどうかを知りたいです。

4

1 に答える 1

1

もちろん、リスクはたくさんあります。

  • OSは、プライベートに管理されているTCP接続を認識しないため、選択したポートが使用中であることを認識しません。これは、別のアプリケーションの接続に同じポートを使用しようとして、混乱を招く可能性があることを意味します。
  • OSは、プライベートに管理されているTCP接続を認識しないため、これらのパケットが表示されないようにしない限り、RSTパケットを送信して、明らかに偽の接続をリセットします。
  • 関連するOS管理データ、構成済みIPアドレス、およびルーティングテーブルへの変更がアプリケーションに自動的に通知されることはありません。更新をポーリングする必要がある可能性があります。
  • TCPプロトコルを適切に実装することは簡単ではありません。ほとんどの実装は、非常によく使用されているものでさえ、何年もの間発見されなかった休止状態のバグを持っていました。必要な情報がすべてRFCにあるわけではありません。確立された慣行が文書化された行動と異なる場所がありますが、通常は正当な理由があります。また、最近のTCPスタックには、他のスタックの過去のバグのある動作に対処するためのコードがたくさんあり、すべての作業を複製するのは簡単ではありません。
  • ホストにインストールされているサードパーティのネットワークセキュリティソフトウェアとの相互作用が悪くなるリスクがかなりあります。これにより、すべてのTCP接続がOS経由で行われることが想定されます。

それは私にとってサポートの悪夢のようです。

于 2010-07-08T01:30:57.133 に答える