什么是Npcap
Npcap是用于Windows操作系统的数据包捕获和网络分析的体系结构,由软件库和网络驱动程序组成。
大多数网络应用程序都通过广泛使用的操作系统原语(例如套接字)访问网络。用这种方法很容易访问网络上的数据,因为操作系统可以处理低级细节(协议处理,数据包重组等),并提供类似于用于读取和写入文件的界面。
但是,有时候,“简便方法”不能胜任这项工作,因为某些应用程序需要直接访问网络上的数据包。也就是说,他们需要访问网络上的“原始”数据,而无需操作系统介入协议处理。
Npcap的目的是使这种对Windows应用程序的访问。它提供以下功能:
- 捕获原始数据包,包括发往运行机器的原始数据包和与其他主机(在共享媒体上)交换的原始数据包
- 根据用户指定的规则对数据包进行过滤
- 再将其分发给应用程序
- 将原始数据包发送到网络
- 收集统计信息在网络上的流量
升级WinpCap到Npcap
在大多数情况下,Npcap与为WinPcap编写的软件完全兼容。需要对称为“ DLL加载”的部分进行较小的更改,在某些情况下,还应对称为“服务名称”的部分进行更改。但是,在WinPcap的最新版本和Npcap的当前版本之间,libpcap API进行了许多改进。查看这些更改可能有助于提高使用Npcap的软件的性能,可靠性和可维护性。
除了libpcap API外,WinPcap还导出了WinDump使用的一些函数,这些函数与将Unix风格的工具移植到Windows有关,但与数据包捕获无关