Здравствуйте! Сразу прошу прощения за выбранную ветку: вопрос может затронуть несколько тем, потому просьба не бить ногами. Собственно вопрос: Прошу посоветовать самый эффективный метод для перехвата и слежения за сетевым трафиком. В первую очередь, интересно все что течет по ТСР/IP и UDP. Важны легальность метода и сложность его обхода. Пока только знаю, что достаточно мощным средством является драйвер сетевой карты, насколько это так? Заранее крайне благодарен!
Следить на TCP потоками можно на уровне TDI (то есть из TDI filgter driver). Следить/изменять IP пакеты можно на уровне NDIS (NDIS IM driver) или Vista NDIS lightweight filter driver. Оба метода легальны/документированы.
Спасибо, s0larian TDI не позволяет изменять/пересобирать пакеты? Правда? И дополнительное уточнение: хотелось бы чтоб выбранный метод работал на всех виндах, или по крайней мере на линейке NT. Предложенные методы в этом плане подходят? Например, NDIS, будет ли он работать и в ХР, и в Висте, и в 7й?
Будет, но только оно того обычно не стоит ) еще один компьютер, как маршрутизатор, со сниффером на нем на любом уровне - эфективнее этого нет ничего, любое другое локальное решение обходится
Сорри, наверное не точно выразился: я имею ввиду программный подход. Буду писать свою программу для этих целей, ищу правильный и эффективный подход. Очевидно, что придется писать драйвер, осталось определиться драйвер чего, какой и т.п.... А почем NDIS того не стоит?
Господа, кто может точно сказать: можно ли через TDI изменять контролируемые данные? Этот вариант для меня пока кажется более предпочтительным...
Самый большой подводный камень это ryki.sys. Так что, изучайте, напишите драйвер, проверьте. А будут вопросы по существу с примерами кода, который у вас не работает - мы с удовольствием ответим и подскажем.
