Ncap初识

Ncap初识

什么是Npcap

    Npcap是用于Windows操作系统的数据包捕获和网络分析的体系结构，由软件库和网络驱动程序组成。
    大多数网络应用程序都通过广泛使用的操作系统原语（例如套接字）访问网络。用这种方法很容易访问网络上的数据，因为操作系统可以处理低级细节（协议处理，数据包重组等），并提供类似于用于读取和写入文件的界面。
    但是，有时候，“简便方法”不能胜任这项工作，因为某些应用程序需要直接访问网络上的数据包。也就是说，他们需要访问网络上的“原始”数据，而无需操作系统介入协议处理。
    Npcap的目的是使这种对Windows应用程序的访问。它提供以下功能：

• 捕获原始数据包，包括发往运行机器的原始数据包和与其他主机（在共享媒体上）交换的原始数据包
• 根据用户指定的规则对数据包进行过滤
• 再将其分发给应用程序
• 将原始数据包发送到网络
• 收集统计信息在网络上的流量

升级WinpCap到Npcap

    在大多数情况下，Npcap与为WinPcap编写的软件完全兼容。需要对称为“ DLL加载”的部分进行较小的更改，在某些情况下，还应对称为“服务名称”的部分进行更改。但是，在WinPcap的最新版本和Npcap的当前版本之间，libpcap API进行了许多改进。查看这些更改可能有助于提高使用Npcap的软件的性能，可靠性和可维护性。
    除了libpcap API外，WinPcap还导出了WinDump使用的一些函数，这些函数与将Unix风格的工具移植到Windows有关，但与数据包捕获无关