.NET/C# 使用 WinDivert 在 Windows 抓包、修改数据包

小渣渣

需求：需要在 Windows 系统下抓取 TCP 数据包，并且能够修改数据包，类似网络安全中的中间人攻击。

回顾：

.net下的抓包工具SharpPcap写的
https://www.itsvse.com/thread-2914-1-1.html

.NET Core 在 Linux 流量抓包实战
https://www.itsvse.com/thread-9524-1-1.html

WinDivert: Windows Packet Divert

Windows Packet Divert（WinDivert）是适用于 Windows 10、Windows 11 和 Windows Server 的用户模式数据包捕获和转移包。

官网：超链接登录可见。

WinDivert 允许用户模式应用程序捕获/修改/丢弃发送到/来自 Windows 网络堆栈的网络数据包。总而言之，WinDivert 可以：

• 捕获网络数据包
• 过滤/丢弃网络数据包
• 嗅探网络数据包
• （重新）注入网络数据包
• 修改网络数据包
  

WinDivert 可用于实现用户模式数据包过滤器、数据包嗅探器、防火墙、NAT、VPN、隧道应用程序等。

WinDivert 的主要功能包括：

• 数据包拦截、嗅探或丢弃模式
• 支持环回（本地主机）流量
• 全面支持 IPv6
• 网络层
• 简单但功能强大的 API
• 高级过滤语言
• 过滤优先级
• 静默安装
• 根据 GNU 宽通用公共许可证 (LGPL) 条款免费提供
  

搭建 httpbin

httpbin(1): HTTP 请求和响应服务，搭建一个 http 服务，通过 WinDivert 修改请求的数据包内容，能够通过响应内容直观的查看到数据包被修改了，服务器接收到的是被中间人拦截修改的数据包内容。

源码：超链接登录可见。

Docker 搭建 httpbin 命令如下：

登录可见。

如下图：



.NET 控制台

首先，新建 .NET 8 控制台应用，nuget 引用如下：

登录可见。

代码如下：

登录可见。

未拦截修改数据库之前，如下图：



启动拦截修改数据包，如下图：



（完）