WFP分层注入中的关键问题与深度解析

1. WFP基础架构概述

Windows Filtering Platform（WFP）是Windows Vista及以后版本中引入的网络数据包过滤框架，允许开发者在内核层或用户层对网络流量进行拦截、检查和修改。其核心由多个层（Layer）构成，每一层对应网络协议栈中的特定阶段。

• FWPM_LAYER_INBOUND_IPPACKET_V4
• FWPM_LAYER_OUTBOUND_TRANSPORT_V4
• FWPM_LAYER_STREAM_V4
• FWPM_LAYER_ALE_AUTH_CONNECT_V4

每层代表不同的处理时机，选择错误将导致逻辑错位。

2. 注入层的选择：从协议栈视角分析

例如：若需修改HTTP请求体，应选择STREAM层而非TRANSPORT层，因后者仅可见TCP头。

3. 子层（Sublayer）的作用与优先级管理

子层用于组织不同提供者的规则集合，并通过权重（Weight）决定执行顺序。系统预定义子层如FIREWALL_SUBLEVEL，自定义子层需注册并指定相对优先级。

FWPM_SUBLAYER0 subLayer = {0};
subLayer.subLayerKey = MY_SUBLAYER_GUID;
subLayer.weight = 100; // 高于默认防火墙
subLayer.flags = 0;
subLayer.displayData.name = L"My Custom Sublayer";

权重冲突可能导致规则被跳过——高权重子层先执行，但若动作设为FWP_ACTION_PERMIT，后续层可能无法处理。

4. 分类器（Classifier）与提供者（Provider）的绑定机制

分类器函数是实际执行过滤逻辑的回调，必须通过提供者关联到特定子层。常见错误是未正确注册提供者句柄：

1. 调用FwpmEngineOpen0()获取引擎句柄
2. 使用FwpmProviderAdd0()添加自定义提供者
3. 调用FwpmSubLayerAdd0()注册子层
4. 创建过滤器时指定正确的providerKey

遗漏任一环节都将导致注入失败。

5. 接口索引绑定与多网卡环境适配

在多NIC系统中，若未限定接口索引（Interface Index），规则可能应用于所有适配器，引发性能下降或策略越界。

FWPM_FILTER_CONDITION0 condition;
condition.fieldKey = &FWPM_CONDITION_INTERFACE_INDEX;
condition.matchType = FWP_MATCH_EQUAL;
condition.conditionValue.type = FWP_UINT32;
condition.conditionValue.uint32 = dwIfIndex; // 指定物理接口

建议结合NET_IFINDEX动态获取目标接口。

6. 执行顺序与安全策略的协同设计

开发者必须理解此流水线模型：在ALE层拒绝连接可避免进入流处理，提升效率。

7. 调试与验证方法论

使用WFPSampler工具可dump当前过滤器表，验证注入是否生效：

wfpsampler.exe /listfilters

同时启用WPP跟踪日志，在DbgView中观察分类器调用轨迹。

8. 实际案例：HTTPS中间人注入的层级选择

实现SSL/TLS内容过滤时，不能直接在TRANSPORT层操作加密数据。正确路径为：

• 在ALE_AUTH_CONNECT层拦截CONNECT请求
• 重定向至本地代理
• 在STREAM层解密并重写payload

该模式符合企业级DLP系统设计规范。