捕获数据包，然后丢弃数据包IPS系统

Question

在windows中是否有可能像unix中的IPS(入侵预防系统)那样“丢弃”数据包。

另外，如果im使用matlab，是否有一种“在网络上捕获数据包”并将它们输入神经网络的方法？windows上的Matlab就是。

我很难理解libpcap如何“捕获”数据，但你却不能实时地“删除”数据？

相当恼人的snort无法做到这一点，snort只能充当windows上的IDS，而在linux上充当IDS/IPS，因为它能够将规则修改到iptables。

Answer 1

对于Windows 7/Vista，您可以使用Windows筛选平台(WFP) API进行简单的包过滤，类似于使用iptables可以实现的功能。然而，API有点冗长。

对于更复杂的过滤，例如URL过滤，即有效负载解析/检查，您需要(1)编写设备驱动程序(如WFP标注驱动程序)，或者(2)使用第三方包将数据包转移到用户模式应用程序。

对于后者，有WinDivert (GLPv3)和WinpkFilter (商业许可证)。这两个包都是C/C++，因此您需要编写一个适当的MatLab绑定。披露:我是WinDivert的作者。

警告技术:像Winpcap这样的包不会也不能因为它使用的驱动程序类型而丢弃数据包(确切地说，是NDIS协议驱动程序)。协议潜水员只看到数据包的副本，无法阻止原始数据包。为此，他们需要将Winpcap驱动程序重新实现为NDIS或LWF驱动程序。