Ok,
ich konnte die Finger nicht davon lassen
.
Vielleicht war ich auch etwas zu ungeduldig in meiner Erwartung von Antworten.
Falls wer Interesse dran hat:
Ich habe heute bzgl. meiner Fragestellung einiges nachgestellt. Ich habe mir eine Windows Personal Firewall installiert, den Name nenne ich hier nicht. Ich richte eine Paketfilterregel ein, die fortan mit einer Popup Meldung alamierte wenn:
srcip: 192.168.0.2 (mein lokaler Rechner)
dstip: 192.168.0.1 (mein lokaler Router)
dstport: 80 (Das Webinterface meines routers)
Ich teste dies mit meinem browser: Alarm!
Ich schaue mir die installierten treiber an und stelle fest, dass meine Firewall einen NDIS Filter driver benutzt. Ich erstelle nun einen eigenen ndis Protokolltreiber, und stelle fest, dass ich keine raw ethernetpakete senden kann, mit erdachten Absender mac's. Eine kleine Korrektur im Treiber behebt dies(Was für meinen Test egal ist, interessierte mich einfach). Ich sende ein TCP Syn Paket an meinen Router auf Port 80 raw, über meinen Treiber.
Die Firewal meldet: Alarm
und Wireshark captured mein paket, d.h. dass mein Treiber noch vor Ethereal im driverstack genutzt wird.
Ein Paket durchläuft den driverstack von oben nach unten, mein Treiber ist recht weit oben, wo weis ich nicht, weil unkokumentiert. pcap ist darunter, und ganz unten sind die filter driver; Meine Firewall! Es scheint aber so, als könne man über einen Filter driver keine Pakete senden, meine recherchen sagen dies zumindest aus, ist das so ?
Wenn ja kann man eine so konstruierte Windows Software Firewall nicht über den driverstack umgehen, ich glaube fest dass es so ist! Das stimmt mich relaxed!
Anmerkungen ?