Сетевая подсистема Windows

Обо мне.

Senior SDE в команде eXtreme Computing Group (XCG), Microsoft Research.
Специализация: низкоуровневое

Содержание.

Архитектура стека TCP/IP.
Путь данных вверх и вниз.
Настройки и аппаратное ускорение.
Фильтры и мониторинг

АРХИТЕКТУРА СТЕКА TCP/IP.

Архитектура стека TCP/IP.

Стек драйверов в NDIS 6.0.

Отдельный стек над каждым сетевым адаптером.
Многопортовые сетевые адаптеры

Промежуточные драйверы.

Промежуточный драйвер объединяет два стека в один.
Верхний стек видит виртуальный сетевой

Программные интерфейсы.

Winsock (send/recv, WSASend/WSARecv).
Winsock Kernel (WskSend/WskReceive).
IP Helper.
RPC (RpcXxx).
WNet (WNetXxx).
WinInet (InternetXxx).
WinHTTP (WinHttpXxx).
HTTP Server

ПУТЬ ДАННЫХ ВВЕРХ И ВНИЗ.

Обработка принятых пакетов (IP).

Сетевой адаптер проверяет целостность пакета и генерирует прерывание.
Драйвер адаптера

Передача данных (TCP).

Приложение указывает на данные для передачи: send(connection, buffer, length, 0);
TCP

Как пакеты хранятся в памяти?

Каждый пакет описывается списком буферов (NET_BUFFER).
Буфер может располагаться

Прямой доступ в память (DMA).

Сетевой адаптер поддерживает очереди буферов.
Несколько очередей для приёма

Прерывания в Windows.

Уровни прерываний (IRQL):
PASSIVE_LEVEL – обычный код; используются приоритеты потоков.
DISPATCH_LEVEL –

Прерывания в NDIS.

Основные прерывания: пакет принят и передан.
Обработка принятых пакетов проходит на

Уведомление приложений.

Все операции ввода-вывода асинхронны.
Синхронные send() и recv() эмулируются.
Уведомление об окончании операции

НАСТРОЙКИ И АППАРАТНОЕ УСКОРЕНИЕ.

Аппаратное ускорение.

MAC и VLAN фильтры на сетевом адаптере.
Регулирование частоты прерываний (Interrupt Moderation).
Выгрузка

Вкладка «Advanced».
Описывается в .INF файле драйвера.
NDIS определяет стандартные параметры.
…но отображаемые названия параметров

Настройка сетевого адаптера (2).

Настройка TCP/IP.

Доступные через реестр параметры TCP/IP описаны в TechNet и множестве других

ФИЛЬТРЫ И СЛЕЖЕНИЕ ЗА ТРАФИКОМ.

NDIS фильтры.

Делятся на следящие и модифицирующие фильтры.
Перехватывают и пакеты, и управляющие OID

Расширение отладчика !ndiskd.

Расширение !ndiskd:
Входит в состав Windows Debugging Tools.
Дружественно к неподготовленному пользователю.
Показывает

Это проще, чем кажеться...

Приостановите BitLocker.
“bcdedit /debug on”.
После перезагрузки: “windbg.exe -kl”.
Убедитесь в корректности

Архитектура WFP.

WFP – Windows Filtering Platform.

Основные элементы WFP.

Shims:
Стек TCP/IP определяет несколько ключевых точек, где происходит фильтрация трафика.
Filters:
Ко

Архитектура IPsec.