开源WindivertDotnet _生活百科

0 前言Hi，好久没有写博客，因为近段时间没有新的开源项目给大家。现在终于又写了一篇，是关于网络方向的内容，希望对部分读者有帮助。
1 WinDivert介绍WinDivert是windows下为数不多的非常优秀网络库，非常适合用于开发抓包或修改包的应用程序，其拥有以下能力：

抓取网络数据包
过滤或丢弃网络数据包
嗅探网络数据包
注入网络数据包
修改网络数据包

同时WinDivert还提供了完整的loopback(回环)IP、IPv6的支持，简约而强大的Api、高级别的过滤语言(可以想象为sql一样的东西) 。
如此优秀的项目自然有着各个语言的二次封装项目，我在github上也找到了对应多个的dotnet封装项目，但无一例外，他们封装的比较简陋或太过于简陋，下面是封装项目的一些不足之处：

IPHeader、TcpHeader、UdpHeader等未提供网络和主机的Endian转换
局限于PInvoke，没有意识使用dotnet的对象(比如IPv4直接声明为uint类型)
没有面向对象的封装，甚至简陋到只有声明了static的PInvoke方法
过滤语言没有任何处理，使用时要翻阅WinDivert的文档(写手sql一个感觉)
没有异步IO封装，都是清一色的IO同步阻塞(异步IO封装难度大)

2 WindivertDotnet介绍WindivertDotnet是面向对象的WinDivert的dotnet异步封装，其保持着完整的底层库能力，又提供dotnet的完美语法来操作：

Filter对象支持Lambda构建filter language，脱离字符串的苦海；
内存安全的WinDivert对象，基于IOCP的ValueTask异步发送与接收方法；
内存安全的WinDivertPacket对象，提供获取包有效数据长度、解包、重构chucksums等；
WinDivertParseResult提供对解包的数据进行精细修改，修改后对WinDivertPacket直接生效；

2.1 网络和主机的Endian自动转换由于windows平台是LittleEndian ，而标准的IPHeader、TcpHeader、UdpHeader网络定义都是BigEndian，如果未做任何处理，当接收到一个SrcPort为80、DstPort为443的Tcp包时映射为结构体时，你调式会看到如下结果：
字段调试看到的值要理解为的值SrcPort2048080DstPort47873443由于没有做Endian自动转换，在调试时看到的数据甚至让人抓狂，此时如果你把SrcPort改为我们理解为81端口，你是不能直接写xxx.SrcPort = 81这样的csharp代码的，应该是xxx.SrcPort = 20736 。
WindivertDotnet项目花了很大的时间精力，为所有涉及的结构体字段访问时都做了必要的Endian读取和写入自动转换，让调用者不再为Endian问题费脑子。
2.2 结合使用dotnet类型IPv4地址占用4字节，IPv6地址占用16字节，所以一些封装项目直接在结构体声明为uint SrcAddr和fixed uint SrcAddr[4]，当然这些声明是没有错误，但是你叫使用者怎么使用呢，使用者往往是var ipAddress = IPAddress.Parse("1.2.3.4)"得到一个IPAddress类型，他们没有精力去研究怎么把IPAddress转为你的uint或uint[4]，或者从uint或uint[4]转换为IPAddress类型，再加上使用了uint ，又得注意Endian的转换，造成这种封装离实际应用太遥远。
WindivertDotnet在声明字段类型时，当存在对应的dotnet高级类型时，优先使用这些高级类型，除了IPAddress之外，如果字段可以使用枚举的，也都声明为了枚举类型，甚至在修改这些属性值时，有严格的输入校验。
2.3 面向对象的封装WindivertDotnet将零散的过程式c-api，包装为多种对象，而不是让你面对满天飞的各种静态方法PInvoke调用IntPrt句柄和维护这些句柄的生命周期，例如WinDivertPacket对象，其本质是一个非托管的缓冲区内存，在没有封装之前，它就是一个csharp的IntPrt类型，看到这个类型，你得加个八倍镜观察可以做为参数传给哪些静态Api方法，同时确保不要忘记不使用之后，要手动去释放它，否则内存就一直占用。
Api原Apiint Capacity { get; }无int Length { get; set;}无Span Span { get; }无void Clear()无Span GetSpan(int, int)无bool CalcChecksums(WinDivertAddress, ChecksumsFlag)WinDivertHelperCalcChecksumsbool CalcNetworkIfIdx(WinDivertAddress )无bool CalcOutboundFlag(WinDivertAddress)无bool CalcLoopbackFlag(WinDivertAddress)无bool DecrementTTL()WinDivertHelperDecrementTTLint GetHashCode()WinDivertHelperHashPacketint GetHashCode(long)WinDivertHelperHashPacketWinDivertParseResult GetParseResult()WinDivertHelperParsePacketvoid Dispose()无2.4 Filterfilter language是WinDivert引以为豪的设计，对WinDivert来说就像是从0到1发明了sql一样，它允许使用简单的文本表达式来让驱动层高性能地过滤得自己感兴趣的数据包，比如