Какой формат захвата пакетов лучше?

Question

Я пишу приложение для сохранения перехваченных IP-пакетов в файл. Какой из следующих форматов захвата пакетов лучше подходит для использования в качестве формата файлов? Нажмите на ссылку для получения дополнительной информации о каждом.

• Snoop (rfc1761)

• PCAP

Кроме того, есть ли библиотека C # для любого из вышеперечисленных форматов?

Answer 1

Я бы пошел на PCAP, так как большинство инструментов, с которыми я обычно работаю, поддерживают его (Wireshark, tcpdump и т. Д.)

Оболочка WinPCAP для .NET

Answer 2

Все программы, использующие libpcap / WinPcap для чтения файлов захвата, - и некоторые программы, использующие собственный код, например Wireshark, - могут читать файл pcap.

Сам Snoop и Wireshark могут читать файлы Snoop, но я не знаю, какие другие инструменты могут его читать.

Если вам нужно, чтобы ваши файлы читались напрямую с помощью snoop (обратите внимание, что Wireshark включает в себя инструменты, которые могут конвертировать файлы snoop в файлы pcap и файлы pcap в файлы snoop), и вам не нужно, чтобы их читал кто-либо, кроме Wireshark без конвертации используйте snoop. В противном случае используйте pcap, так как они будут доступны для чтения большему количеству программ.

Кроме того, я не знаю ни кода C #, ни оболочки C # для другого кода для обработки файлов отслеживания, поэтому, если вы будете писать код на C #, формат pcap будет лучше.

Answer 3

Я бы также порекомендовал pcap.

Я рекомендую использовать большую оболочку WinPcap в C # или VB.NET (оболочку .NET), которая называется Pcap.Net: http://pcapdotnet.codeplex.com

Answer 4

Я использую pcap (потому что он поддерживается множеством инструментов и библиотек для каждого языка), но учтите, что есть другой формат, ncap .