0

每个人。又是我,将 WinPcap 从 NDIS 6 协议移植到 NDIS 6 过滤器的人:) 我遇到了一个错误,让我困了两天。这里是:我安装好npf6x.sys驱动(原名为npf.sys)后,可以通过“net start npf”启动服务。然后我打开了 Wireshark。然后网络出现故障(托盘图标上的感叹号)。经过远程调试,我发现 FilterReceiveNetBufferLists 例程从未被调用过。我相信 RX 链接在这里被破坏了。但是,FilterSendNetBufferLists 被正常调用。我确定 FilterAttach 已成功调用,现在没有调用 FilterUnload。所以过滤器模块应该还在它的位置。但它不能在 RX 路径中工作。然后我点击了Wireshark的“开始”按钮,竟然发现网络已经恢复了。然后我停止当前捕获并单击“接口列表”,网络再次关闭。太奇怪了。

我没有在驱动程序的运行过程中更改处理程序指针。我似乎驱动程序也没有被锁阻塞。谁能告诉我是否有任何情况导致 NDIS 在运行期间不调用过滤器的 FilterReceiveNetBufferLists?

还有任何官方文档说明如何从 NDIS 6 协议移植到 NDIS 6 过滤器?我只找到了从 NDIS 5 移植到 NDIS 6 的文档。

谢谢。

4

1 回答 1

1

我们没有关于 LWF->Protocol 的官方文档,因为这不是一个非常常见的转换。

很难说是什么导致了网络宕机,因为可能有很多原因。最好的方法是使用内核调试器并开始使用!ndiskd.miniport. 以下是网络出现故障时要查看的一般清单:

  • 微型端口是否处于正常状态?检查将状态!ndiskd.miniport区域中的所有内容显示为绿色或正常外观。确保数据路径正常(绕过)并且媒体连接状态为已连接。
  • 您的过滤器驱动程序是否已加载到您认为应该加载的位置?检查BINDINGS!ndiskd.miniport部分是否显示您的过滤器正在列出。如果您使用的是新的 Windows 8.1 WDK,还要检查过滤器的绑定是否“拒绝”。
  • 微型端口的接收过滤器是否允许通常的传入数据包集?检查是否!ndiskd.miniport -filterdb显示微型端口至少允许进入 DIRECTED 和 MULTICAST 流量。
  • 微型端口是否试图指示流量?在 上设置断点ndis!NdisMIndicateReceiveNetBufferLists,并验证断点是否频繁命中,因为 NIC 正在将接收到的数据包提供给操作系统。
  • TCPIP 是否正在尝试发送流量?如果 TCPIP 不发送流量,则不会收到任何回复。设置断点ndis!NdisSendNetBufferLists以查看 TCPIP 是否正在发送任何流量。如果是,请在微型端口发送处理程序上设置另一个断点(用于!ndiskd.minidriver查找其MiniportSendNetBufferLists处理程序)并验证发送数据包是否将其发送到 NIC。
  • 微型端口的接收数据包池是否为空?如果是这样,微型端口将无法再指示任何数据包,因为它已用完 NBL。用于!ndiskd.pendingnbls查看是否有任何 NBL 尚未归还。它通常会找到零个或可能一个未决的 NBL;如果您看到它找到数百个,那么您的过滤器中有 NBL 泄漏。
  • 微型端口有没有发现任何问题?检查微型端口统计信息。在 Windows 8 中,Get-NetAdapterStatistics从 PowerShell 使用。

如果您是 Windows 内核网络调试的新手,您将很难确定某些事情看起来是好是坏。理想情况下,您应该有另一台可以工作的计算机进行调试,这样您就可以看到“正常”的样子。

如果您的搜索仍然没有找到任何有用的东西,那么另一个攻击角度是对您所做的代码更改进行二进制搜索。首先,注释掉您对过滤器的接收路径所做的所有更改,并将其恢复为与示例中的完全相同。这能解决问题吗?如果是这样,请继续。. . .

于 2013-08-14T17:50:34.450 回答