Research on NDIS driver and implementation of network monitoring program based on NDIS

This article introduces the technology of developing network drivers based on the Network Device Interface Specification (NDIS) in Windows environment. And analyzes the key points of developing network monitoring programs based on NDIS. Keywords: NDIS; driver, network monitoring, filtering, data packet; interception; With the popularization of computer networks and the rapid development of related technologies, some application software needs to filter and analyze data packets to be transmitted on the network. There are many ways to intercept data packets in Windows environment. It can be implemented in the presentation layer using the API function of WINSOCK, or in the session layer using the standard API provided by WINDOWS, or in the transport layer to write a driver to intercept data packets and perform corresponding operations, but it cannot filter data such as ICMP and other protocols. The most standard, standardized and powerful way to implement data packet interception operations under WINDOWS should be in NDIS (network layer implementation), which is powerful and efficient, and is simpler than the device driver of the link layer below. The network driver interface specification NDIS (Network Device Interface Specification) is the abbreviation of the network driver interface specification developed by Microsoft and 3Com. It provides a framework guide for developing network drivers and network protocol drivers on the Windows platform. NDIS provides a standardized development process and function framework, so that developers can develop efficient network drivers by implementing these functions without considering the operating system kernel and the interface with other drivers. The current NDIS version is NDIS 5.0.