Windows网络数据包修改

取决于您想要过滤/修改什么类型的数据包。

如果您想进行应用程序级别的过滤，并希望获取HTTP或类似数据包，您最好使用LSP。但请注意，这种方法有一定的缺点。首先，微软似乎正在试图摆脱这项技术，而且我IRC Windows 7徽标要求之一是“您的产品中不得有LSP”，他们似乎正在推广Windows Filtering Platform。其次，您会对第三方LSP兼容性的问题感到非常惊讶。第三，一个非常简单的LSP仍然需要大约2 KLOC的代码量：）

如果您想进行IP级别的数据包过滤，则需要使用驱动程序。

Windows Filtering Platform提供了您在任何情况下所需的功能。但是，它仅适用于Windows Vista及更高版本的产品，因此无法在XP上使用。另一件需要考虑的事情是，WFP只能在用户空间允许/拒绝数据包，如果您需要修改它们，则需要进入内核模式。（至少在它出现时是这种情况，也许现在已经改进了一些）。

如果您想修改数据包，您需要与硬件进行通信，需要某种驱动程序。如果您不想使用自己的驱动程序，您可以获取第三方驱动程序进行交互操作。
对于过滤，可以使用类库，如winpcap或libpcap。
另外，请查看此链接：http://www.ntkernel.com/w&p.php?id=7 还有一个链接：http://bittwist.sourceforge.net/ 希望这可以帮助您！

WinPcap只能过滤预编译条件的数据包。您需要编写LSP级别的网络驱动程序，它可以在数据包发送到网络之前修改数据包内容。每次重新安装时无需重启计算机。更多信息请参见：http://blogs.msdn.com/wndp/archive/2006/02/09/529031.aspx 或者 http://www.microsoft.com/msj/0599/LayeredService/LayeredService.aspx。

我不是专家，但我想在我的局域网上做类似的事情。我想拦截来自一个固定IP的数据包，并在它们到达我的路由器之前修改它们，然后再传输到互联网。我还想捕获和修改返回的数据包，然后才能允许它们通过到达我的主机。我设想的方法是这样的...

1. ARP欺骗主机和路由器，使我的嗅探机可以经过所有数据包。
2. 分析未来要修改的数据包，并寻找与这些数据包独特的特征，以便我可以捕捉到它们。
3. 编写一个宏/脚本，实时查找所述特征，然后在发送之前即时修改它。

我知道Windows的Cain&Abel可以进行ARP欺骗，但我不确定它是否能够提供原始数据包内容的转储。Wireshark可以转储所有数据包，但我不确定它是否可以进行ARP欺骗，以便只获取我需要的内容。如果不行，那么我可以通过以太网将我想要拦截的主机连接到我的嗅探机上，然后通过嗅探共享互联网，以便所有数据包都会经过嗅探机。
所以第一步可以完成，我不知道这些程序是否已经具有基于特定内容的过滤功能，但我猜想它们肯定有。这就是我所做的，希望对某人有所帮助，也许其他人可以进一步发展？