не совсем понятно что вы хотите добиться и нельзя ли это сделать на уровне настроек.
Я думаю если часть пакетов резать то весь протокол глючить будет.

Outpost защищает от червей, распространяющихся через 445 порт.
А вообще - почему бы не поставить все патчи и нормальный пасс - тогда и черви беспокоить не будут

Всё ограничивается твоими познаниями в программировании и юзанием WinPCap для осуществления фильтрации на твой вкус

А можно в этом месте немного поподробнее?

Marco
А насчёт RAWsockets - слышал? Какой бы то ни был протокол, пакет, приходящий на комп - это набор шестнадцетиричных символов, в которых передаётся что за протокол от кого, кому и собственно содержимое - передаваемые данные.

Ты как думаешь стенка (да и система тоже) определяет какой пакет от кого и кому пришёл и что он сожержит? Вот как раз по спецификации: у каждогшо протокола определённые байты на определённом месте в пакете. Так что твои слова: - не имеют смысла

И уж тем более вот здесь ты глубоко ошибаешься: - если бы он не лез - откуда бы он знал что это за пакет?

Вот как раз не совсем: можно послать любой сформированный нами пакет.

Самый элементраный пример - обычный сниффер


http://www.winpcap.org/
Ставь драйвер, изучай сорцы (куча примеров разных снифферов и прочих радостей) и мануалы - там хоть на буржуйском языке, но если владеешь техническим английским - разберёшься

Встроенных? Вряд ли. По крайней мере я не видел. Да и политика MS настроена на то чтобы таких штучек и не было

например есть приложение, которому нужен NetBIOS. Возможно оставить открытым NetBIOS порт но принимать данные только от этого приложения, а остальные фильтровать?

Мне кто-то говорил про порты в NetBIOS, но что-то я никак не могу ничего подобного ни в статьях ни в спецификациях найти.

Я вот думаю может NetBIOS как-то по именам фильтровать можно. Ведь насколько я понял из доков - сервер слушает только какие-то определенные имена, и соответственно NetBIOS сессия устанавливается только для них. (The workstation sends a NetBIOS session request to the server name over the TCP connection. Assuming the server is listening on that name, it will respond affirmatively and a session is established.)
Ну например LMHOSTS строго прописать что ли или еще как-то

То есть можно как нибудь разрешить к примеру computer_name[03h] (соответсткует Messenger service on the WINS client) а все другое закрыть?

НА скольео я понимаю, в "data" файрволл не заглядывает, а человек хотел различать пакеты именно не по заголовку, а по его содержимому..

Угу...как рубиться netbios у человека?Файрволл?...файрволл у нас работает на уровне rawsocket...А сниффер читает траффик, переводит карточку в специальный режим, когда она ловит весь траффик, т.е. на уровне драйвера......значит снифферу пофигу на наличие файрволла?...ненаю...ща попробую такую фигню сотворить...будет ли работать....

А если машина клиент червя поцепит и начнет его рассылать на порт NetBIOS? А так у нас NetBIOS будет принимать только то что нужно, насколько я понимаю.


а если по именам NetBIOS? Насколько я понимаю, комп по NetBIOS слушает именно определенное имя, которое и связано с приложением, правильно? Просто влезать в PCAP ой как не хочется - надолго это. А вот если б просто в Винде настроить как-нибудь слушающиеся имена...

Вот, к примеру, я хочу чтоб один комп был чисто файл-сервером, и принимал пакеты предназначеные для его имени, 16-й байт которых = 20. А другой только клиентом (16-й байт NetBIOS имени = 00). И чтоб регистрировали они только эти имена.