WinDivert实战：5分钟搞定Windows驱动层DNS劫持（附完整代码）

Windows网络驱动层拦截实战：从WinDivert入门到DNS流量重定向

如果你在Windows平台上做过网络编程，特别是涉及到数据包拦截、修改或者流量分析，你肯定遇到过用户态工具的各种限制。比如，你想拦截某个特定进程的DNS请求，或者修改出站HTTP请求的头部，传统的用户态方法要么权限不够，要么性能堪忧。这时候，驱动层的解决方案就显得尤为重要。

WinDivert正是这样一个在Windows驱动层进行网络数据包拦截和修改的利器。它允许开发者在内核级别捕获、修改、重定向甚至丢弃网络数据包，而无需编写复杂的内核驱动代码。这对于网络安全分析、应用调试、自定义防火墙、流量监控乃至一些特殊的网络功能实现来说，是一个效率极高的工具。

这篇文章面向有一定C/C++基础，对Windows网络编程感兴趣，并且希望深入理解驱动层网络操作的开发者。我们将从WinDivert的基本原理讲起，逐步深入到实际开发中的关键细节，最后通过一个完整的DNS流量重定向案例，让你能够快速上手并应用到自己的项目中。

1. WinDivert核心架构与工作原理

要理解WinDivert的强大之处，首先要明白它在Windows网络栈中的位置。Windows的网络数据流经多个层次，从最底层的网卡驱动，到NDIS（网络驱动接口规范），再到TCP/IP协议栈，最后到达应用程序。WinDivert巧妙地插入到这个流程中，在网络层（IP层）进行拦截。

1.1 驱动层拦截的优势

为什么选择驱动层？与用户态的抓包工具（如基于WinPcap的Wireshark）相比，驱动层拦截有几个显著优势：

• 更高的权限和更早的介入点：数据包在进入系统协议栈之初就被捕获，可以修改或丢弃，影响后续所有处理流程。用户态工具通常只能“旁观”，无法有效拦截。
• 对应用程序透明：被拦截的应用程序完全感知不到数据包被中途处理过，这对于实现防火墙、代理或流量整形功能至关重要。
• 性能更佳：内核态处理避免了频繁的用户态-内核态上下文切换，对于高速网络处理场景更有利。
• 能处理环回（Loopback）流量：可以捕获本机进程间通过127.0.0.1通信的数据包，这是很多用户态工具难以做到的。

WinDivert通过一个名为WinDivert.sys的驱动程序来实现核心拦截功能。同时，它提供了一套用户态的DLL库（WinDivert.dll）和清晰的API，让开发者可以用熟悉的用户态编程方式来操作驱动层捕获的数据包。

1.2 工作流程与数据包生命周期

一个典型的使用WinDivert的应用程序工作流程如下：

1. 初始化与过滤：应用程序调用WinDivertOpen，指定一个过滤字符串（如"udp.DstPort == 53"用于拦截DNS请求）、拦截的层（通常是网络层WINDIVERT_LAYER_NETWORK）以及操作标志。这会在内核中安装一个过滤钩子。
2. 数据包捕获：当有网络数据包流经系统，并且匹配过滤规则时，WinDivert.sys驱动会将其“劫持”并暂存。应用程序通过WinDivertRecv函数从用户态读取这个被捕获的数据包。
3. 数据包解析与修改：应用程序使用WinDivertHelperParsePacket等辅助函数解析数据包结构，然后可以任意修改其内容，例如更改IP地址、端口或负载数据。
4. 数据包重注入或丢弃：修改完成后，调用WinDivertSend将数据包重新注入到网络栈中，让其继续原来的旅程。如果选择不发送，则相当于丢弃了该数据包。

这个过程中，数据包在内核和用户态之间传递。WinDivert会处理好必要的缓冲区管理和校验和重新计算（通过WinDivertHelperCalcChecksums）。

注意：WinDivert工作在IP层及以上，这意味着它可以修改IP头、TCP头、UDP头和负载，但无法修改更底层的以太网（MAC）帧头。如果需要操作链路层，可能需要其他方案。

2. 开发环境搭建与第一个拦截程序

在开始写代码之前，我们需要准备好开发环境。WinDivert项目托管在GitHub上，使用C语言编写，但通过头文件和库文件，可以很方便地在C++项目中使用。

2.1 获取WinDivert库

访问WinDivert的GitHub仓库（https://github.com/basil00/Divert），下载最新的发布版本（如WinDivert-2.2.2-A.zip）。解压后，你会看到如下关键文件：

WinDivert-2.2.2-A/
├── x86/
│   ├── WinDivert.dll    (32位动态库)
│   ├── WinDivert.lib    (32位导入库)
│   └── WinDivert32.sys  (32位驱动文件)
├── x64/
│   ├── WinDivert.dll    (64位动态库)
│   ├── WinDivert.lib    (64位导入库)
│   └── WinDivert64.sys  (64位驱动文件)
├── include/
│   └── windivert.h      (主头文件)
└── examples/            (官方示例代码)

根据你的目标平台（32位或64位），将对应目录下的.dll、.lib和.sys文件复制到你的项目目录中，或者一个系统能够找到的路径（如程序运行目录）。windivert.h头文件需要包含到你的项目中。

2.2 配置Visual Studio项目

如果你使用Visual Studio，需要进行以下配置：

1. 包含目录：在项目属性 -> C/C++ -> 常规 -> 附加包含目录中，添加WinDivert头文件所在路径。
2. 库目录