Извечный вопрос: NDIS или TDI?

Доброго времени суток, господа!

Помогите, пожалуйста, определиться что выбрать NDIS или TDI для драйвера для простого контент-фильтра.
В функции фильтра будут входить стандартные для этого класса программ:
- слежение за всеми Интернет-подключениями (LAN, Dial-Up, etc);
- возможность узнать имя процесса владельца перехваченного пакета;
- возможность не только дропать, но и изменять содержимое пакетов (с изменением длины пакета как в плюс, так и в минус);
- обмен данными между драйвером и юзерлендом;
- корректное ожидание драйвером решения юзерской управляющей софтины (время ожидания не определено и не лимитировано).

Какой тип драйвера подошел бы для этих целей лучше?
Если это возможно, не плохо было бы заиметь пример подобного драйвера...

Заранее всем очень благодарен!

 

Да, забыл еще один важный пункт: хотелось бы иметь поддержку в как можно большем количестве Виндов...
Хотя я понимаю, что для всех Виндов, одного типа драйверов будет недостаточно. Потому, прошу сориентировать для каких версий ОС какой лучше подойдет тип драйвера?

 

Ответ прост так же, как и вопрос. Если тебе нужно сниффать/модифицировать протоколы сеансового уровня и выше, то удобнее и проще TDI фильтр. Если тебе нужно отслеживать протоколы транспортного/сетевого/канального уровня, то удобнее хукать NDIS.

JustAGuest
Насколько я помню, с висты TDI не используется.

Без разницы, если корректно реализовать.

 

Т.е. для Висты и выше уже пойдет другой механизм: NDIS или они там что-то свое выдумали?

ЗЫ. Насчет протоколов: достаточно TCP/IP && UDP, остальное буду рассматривать как приятный и полезный бонус

 

Да, под NDIS, я имею ввиду NDIS IM

 

Только TDI.

Используются, хотя в MSDN утверждается обратное, их поддержка осталась из соображений совместимости.
А в целом, ответ, как и сказал Great

 

Хм, выходит небольшое противоречие.
Если следовать указаниям Микрософта, то TDI в Висте юзать - моветон, верно?
А как же тогда получать имя процесса (или хоть что-то, через что на имя можно будет выйти) если идти по пути NDIS IM?
Данная информация будет важна только в юзермоде.

 

Начиная с Vista, вместо TDI MS ввела сетевые интерфейсы NMR и Kernel Socket, http://wasm.ru/article.php?article=npi_subvert тебе в помощь

 

Это для клиентов, для фильтров WFP.

Забыл дать ссылки на официальную документацию.

 

Да, для фильтрации в Windows Vista рекомендуется использоваться Windows Filtering Platform (WFP).

 

TDI однозначно, работать будет на всех версиях Windows.

Можно посмотреть на tdi_fw, но мне лично не очень нравится это поделие. Я бы посоветовал изучать с нуля по документации и по тому, что пишут на форумах. Ну и здесь можно будет задавать вопросы по ходу дела, что смогу отвечу, опыт какой-никакой имеется.

 

Спасибо, господа, более менее определился.
Для себя сделал такой вывод: стоит заняться TDI, т.к. NDIS хоть имеет свои плюсы, но из него нельзя получить информацию о процессе, а это критично.
Также, TDI позволит выиграть время на изучение и разработку WFP-драйвера за счет того, что в пожарном режиме можно будет в Висте юзать уже к тому моменту готовый TDI-драйвер.

ЗЫ
x64
Спасибо за предложенную помощь. Уверен, что она понадобится

 

это опыт показал? )

 

Кстати, на TDI-уровне тоже иногда проблемы бывают с определением процесса. Подробнее см. здесь, к примеру.

 

Грустно, путей решения видимо не существует...
Но в целом это не сильно ломает всю систему...

 

у меня NDIS IM и информацию о процессе я получаю на всех пакетах
но код весьма сложный и раскрывать его я не могу
просто хочу сказать что это ВОЗМОЖНО практически

 

z0mailbox
Это что-то очень интересно вы сейчас сказали!
Понимаю, разглашение есть зло, но хотя бы принцип, архитектуру можно услышать? Без кода...

И что по этому поводу скажут господа специалисты?

 

Ты уверен? А разве в Vista+ TDI не оставлен исключительно для совместимости, а компоненты сетевой подсистемы ОС используют NPI для взаимодействия?

 

Да.

При наличии TDI-фильтров трафик будет идти через них на всех системах.

 

JustAGuest
Господа специалисты поддерживают, что при желании получить информацию о процессе можно.