基于SPI的数据报过滤原理与实现

核心提示：Ws2_32.dll数据传输部分的主要功能是在服务提供者和应用程序之间提供流量管理的功能，每个应用程序通过Ws2_32.dll和相应的服务提供者进行严格的数据交换，基于SPI的数据报过滤原理与实现(2)，Ws2_32.dll根据应用程序在创建套接字时所提供的参数来选择特定的服务提供者，然后把应用程序的实现过程转发由所选

Ws2_32.dll数据传输部分的主要功能是在服务提供者和应用程序之间提供流量管理的功能。每个应用程序通过Ws2_32.dll和相应的服务提供者进行严格的数据交换。Ws2_32.dll根据应用程序在创建套接字时所提供的参数来选择特定的服务提供者，然后把应用程序的实现过程转发由所选创建套接字的服务提供者来管理。也就是说，Ws2_32.dll只是一个中间过程，而应用程序只是一个接口，数据通信的实现却是有服务提供者来完成的。我们说过，Ws2_32.dll是通过创建套接字的API函数WSASocket或socket的参数来确定使用哪一个服务提供者。而WSASocket/socket的参数中包括了地址族，套接字类型和协议类型，这三个因素共同决定了创建套接字的服务提供者。Ws2_32.dll在服务提供者中寻找第一个和前面三因素相匹配的WSAPROTOCOL_INFOW结构，然后就调用这个WSAPROTOCOL_INFOW结构相应的WSPStartup函数，（所有的数据传输服务提供者以DLL的形式，它们对外的接口就只有WSPStartup，其他的服务提供者函数都是通过WSPStartup来调用的），进而调用如WSPSocket的函数来创建套接字，WSPConnect的函数来建立连接等等。除了流量管理功能外，Ws2_32.dll还提供了其他的服务，比如协议枚举，基于线程的阻塞钩子管理和在Ws2_32.dll和服务提供者之间进行版本协商。

传输服务提供者实现的功能包括建立连接，传输数据，实现流控制和差错控制等函数。其实Ws2_32.dll并不知道服务提供者的请求等活动是如何实现了，Ws2_32.dll在应用程序和服务提供者之间实现了媒介的功能。传输服务提供者可分为两类：套接字描述符是可安装的文件系统（IFS）句柄的提供者；剩下的是非IFS的提供者。在我们的程序中选用了非IFS提供者。可见，服务提供者实现了底层的与网络相关的协议。Ws2_32.dll提供了介质级别的流量管理，应用程序则提供了有关如何实现网络相关的操作，它实现了用户所希望的功能。

在传输服务提供者的实现过程中，安装顺序是非常重要的。我们不仅要正确的安装服务提供者，而且还必须在Windows socket中注册，将相关的系统信息保存在数据库中，这样Ws2_32.dll才能够方便的获得下层服务提供者的相关信息。在Ws2_32.dll中提供了用来安装服务提供者的函数WSCInstallProvider，它需要服务提供者的有关数据，比如DLL的名称和路径。同时Ws2_32.dll还提供了卸载服务提供者的函数WSCDeinstallProvider，在不需要时通过它将特定的服务提供者从系统中删除。为什么说传输服务者的安装顺序很重要呢？在服务提供者配置函数中的WSCEnumProtocols是用来枚举系统中所有已安装的服务提供者，它按照服务提供者的安装顺序相应的列出他们。在前面我们也提到过，Ws2_32.dll在服务提供者中按安装顺序搜寻和WSASocket/socket提供的三个参数相匹配的服务提供者，所以安装顺序在一定程度上是决定了服务提供者是否被正确调用的关键。Windows socket 2还提供了一个动态链接库Sporder.dll，它提供了对已安装的所有服务提供者顺序的重新排列（此DLL系统没有自带，common目录中已提供）。在附录中的T-Sporder.exe是一个查询当前已安装所有数据传输服务提供者属性的工具。

服务提供者系统中区分基础协议，分层协议和协议链是通过结构WSAPROTOCOL_INFOW中的Protocolchain结构的ChainLen值来实现的。分层协议的ChainLen值为0，基础协议的值为1，而协议链的值是大于1。在数据传输服务提供者的实现方式中分层协议和基础协议几乎是相同的，它们的不同之处在安装上。Windows中，现有的系统服务提供者（系统自带）几乎已提供了所有基本的服务，因此我们所写的服务提供者程序，都可以对数据报进行适当“修饰”后调用系统服务提供者来完成绝大部分剩下的功能，无论是基础服务提供者还是分层服务提供者都可以使用这种技术，免去不必要的劳动。基础服务提供者的实现过程主要是替换当前系统服务提供者的安装路径为自己的服务提供者的安装路径即可，当然我们必须保存所以系统服务者的相关数据，在我们卸载自己的服务提供者还原系统服务提供者时要用到这些信息，如系统服务者DLL的名称和路径。而协议链就不同了，首先我们必须安装好所有的基础协议和分层协议后，再构造协议链的WSAPROTOCOL_INFOW结构链，组成协议链的每个协议都会在协议链的ProtocolChain.ChainEntries数组中被定义，协议链数组中的第一个协议应该是第一个分层服务提供者。当然在安装分层协议及协议链时我们不会改变系统服务提供者，最多只是改变系统服务提供者的安装顺序罢了。在此，我们以分层服务提供者为例来说明数据传输服务提供者的安装过程。

Ws2_32.dll是使用标准的动态链接库来加载服务提供者接口的DLL到系统中去的，并调用WSPStartup来初始化。WSPStartup是Windows Socket 2应用程序调用SPI程序的初始化函数，也就是入口函数。WSPStartup的参数LPWSAPROTOCOL_INFOW指针提供应用程序所期望的协议信息，然后通过这个结构指针我们可以获得所保存的系统服务提供者的DLL名称和路径，加载系统服务提供者后查找到系统SPI程序的WSPStartup函数的指针，通过这个指针我们就可以将自己服务提供者的WSPStartup函数和系统SPI程序的WSPStartup函数相关联，进而调用系统的各个服务提供者函数。在数据传输服务提供者的实现中，我们需要两个程序，一个是可执行文件用来安装传输服务提供者；另一个就是DLL形式的数据传输服务提供者。下面我们就对安装程序(instif.exe)和实现程序(ipfilter.dll)所使用的主要函数进行简要分析。

三、相关程序代码分析

1.instif.exe

可执行程序instif.exe的主要功能是安装我们自己的分层传输服务提供者，并重新排列所有传输服务提供者的顺序，使我们的服务提供者位于协议链的顶端，这样相应类型的应用程序就会首先进入我们的传输服务提供者接口。本程序只有一个参数，就是安装(-install)或卸载(-remove)。作为演示，本程序只安装了IP分层协议及与UDP相关的协议链。（在ipfilter.dll中，我们只过滤目标端口为8000的UDP数据报）

自定义函数：

BOOL　getfilter();　　 //获得所有已经安装的传输服务提供者

void　freefilter();　　//释放存储空间

void　installfilter(); //安装分层协议，协议链及排序

void　removefilter();　//卸载分层协议和协议链

代码分析：

protoinfo=(LPWSAPROTOCOL_INFOW)GlobalAlloc(GPTR,protoinfosize)；

//分配WSAPROTOCOL_INFOW结构的存储空间

totalprotos=WSCEnumProtocols(NULL,protoinfo,&protoinfosize,&errorcode)；

//获得系统中已安装的所有服务提供者

GetCurrentDirectory(MAX_PATH,filter_path)；　

//得到当前的路径

_tcscpy(filter_name,_T("\\ipfilter.dll"));　

//构造服务提供者文件ipfilter.dll的路径全名

WSCInstallProvider(&filterguid,filter_path,&iplayerinfo,1,&errorcode)；