WinPcap网络封包抓取工具

WinPcap网络封包抓取工具是目前最常用的网管辅助之一，极大的方便的网络抓包和分析操作，超小的体积和极快的速度受到用户们的一致认可。有需要的朋友就来IT猫扑下载吧！

winpcap介绍

WinPcap是用于网络封包抓取的一套工具，可适用于32位的操作平台上解析网络封包，包含了核心的封包过滤，一个底层动态链接库，和一个高层系统函数库，及可用来直接存取封包的应用程序界面。

Winpcap是一个免费公开的软件系统。它用于windows系统下的直接的网络编程。开发winpcap这个项目的目的在于为win32应用程序提供访问网络底层的能力。

分析在线播放的流媒体直接下载地址信息 类似与libpcap的包，支持WIN32平台。可以进行信息包捕获和网络分析,是基于UNIX的libpcap和BPF（Berkeley 分帧过滤器）模型的包。

主要功能：

1、网络及协议分析。

2、网络入侵检测系统（nids）。

3、网络监控。

4、网络扫描。

5、安全工具。

6、通信日志记录。

7、用户级别的桥路和路由。

8、trafficgenerators。

安装步骤：

1、首先在本站下载最新的软件包，然后直接运行软件。

2、进入到使用协议界面，我们点击界面下方的“i agree”选项进入下一步。

3、进入到准备安装界面，我们点击界面下方的“install”选项就可以开始安装了。

4、正在安装中，我们可以看到界面中的安装进度条正在运行，耐心等待一会就可以了。

5、安装完成，我们点击界面下方的“finish”选项就可以关闭安装界面打开软件来体验了。

WinPcap常见问题

一、Windows10系统下WinPcap 4.1.3安装失败是怎么解决？

找到WinPcap官方安装版软件相应文件，并把扩展名修改即可：

C:WindowsSysWOW64 的wpcap.dll改成 wpcap.dll.old

C:WindowsSysWOW64的packet.dll改成 packet.dll.old

我们按照上面的方法将扩展名修改完成后就可以正常安装winpcap软件了。

运行WinPcap程序，出现&无法找到组件&对话框错误：没有找到wpcap.dll？

解决方法：重新安装WinPcap。

在vc6.0中编译WinPcap程序，出现下面错误: fatal error C1083: Cannot open include file: 'pcap.h': No such file or directory？

解决方法： 菜单Tool->Options->Directories选项卡->Show directories->Include files，选择WinPcap中的开发包目录中的Include目录

驱动功能

捕获原始数据包，包括在共享网络上各主机发送/接收的以及相互之间交换的数据包；

在数据包发往应用程序之前，按照自定义的规则将某些特殊的数据包过滤掉；

在网络上发送原始的数据包；收集网络通信过程中的统计信息。

一、npf驱动

网络数据包过滤器（netgroup packet filter，npf）是winpcap的核心部分，它是winpcap完成困难工作的组件。

它处理网络上传输的数据包，并且对用户级提供可捕获（capture）、发送（injection）和分析性能（analysis capabilities）。

二、npf和ndis

ndis（network driver interface specification）是一个定义网络适配器（或者说成是管理网络适配器的驱动程序）与协议驱动（例如tcp/ip的实现）之间通信的规范。

ndis最主要的目的是作为一个允许协议驱动发送和接收网络（lan或wan）上的数据包而不必关心特定的适配器或特定的win32操作系统的封装。

三、ndis支持三种类型的网络驱动

1、网络接口卡或nic驱动（network interface card or nic drivers）

nic驱动直接管理着网络接口卡（nic）。nic驱动接下边与硬件连接，从上边表现为一个接口，该接口允许高层发送数据包到网络上，

处理中断，重置nic，停止nic，查询和设置驱动的运行特征。nic驱动可以是小端口（miniport）或完全的nic驱动（full nic driver）。

miniport驱动仅仅实现了管理nic的必要操作，包括在nic上发送和接收数据。对于所有最底层的nic驱动的操作由ndis提供，例如同步（synchronization）。

小端口（miniport）不直接调用操作系统函数，它们对于操作系统的接口是ndis。小端口仅仅是向上传递数据包给ndis并且ndis确保这些数据包被传递给正确的协议。

完全nic驱动（full nic driver）完成硬件细节的操作和所有由ndis完成的同步和查询操作。例如，完全nic驱动维持接收到的数据的绑定信息。

2、中间层驱动（intermediate drivers）

中间层驱动位于高层驱动（例如协议驱动）和小端口之间。对于高层驱动，中间层驱动看起来像是小端口；对于小端口，中间层驱动看起来像协议驱动。

一个中间层协议驱动可以位于另一个中间层驱动之上，尽管这种分层可能对系统性能带来负面影响。开发中间层驱动的一个关键原因是在现存的遗留协议驱动（legacy protocol driver）和小端口之间形成媒体的转化。

例如，中间层驱动可以将lan协议转换成atm协议。中间层驱动不能与用户模式的应用程序通信，但可以与其他的ndis驱动通信。

3、传输驱动或协议驱动（transport drivers or protocol drivers）

协议驱动实现了网络协议栈，例如ipx/spx或tcp/ip，在一个或多个网络接口卡上提供它的服务。

在协议驱动的上面，它为应用层客户程序服务；在它的下面，它与一个或多个nic驱动或中间层ndis驱动连接。

版本更新：

修复部分bug。