我正在寻找有关pcap-ng的一些信息。
pcap-ng和pcap有什么区别?
是否有任何pcap-ng工具/库?
如何将pcap转换为pcap-ng和pcap-ng转换为pcap?
答案 0 :(得分:10)
pcap-ng和pcap有什么区别?
pcap比pcap-ng更老,功能更少,但更简单。这是a description of pcap file format;这是a description of pcap-ng file format。
是否有用于pcap-ng的工具/库?
较新版本的libpcap可以读取一些pcap-ng文件(所有接口都需要具有相同的链路层头类型和快照长度,因为libpcap API只能提供一种链路层头类型,并且只能提供一个快照长度一份文件)。 Wireshark包含一个可以读取和写入多种捕获文件格式的库,包括pcap和pcap-ng,但它没有稳定或记录良好的API(在下一个Wireshark主要版本中它会有很大的改变)更好地支持pcap-ng和其他格式。)
如何将pcap转换为pcap-ng和pcap-ng转换为pcap?
使用Wireshark附带的“editcap”工具。请注意,并非所有pcap-ng文件都可以转换为pcap文件 - 只有libpcap可以读取的文件才能被转换(如果tcpdump使用的是更新版本,也可以通过tcpdump将这些文件从pcap-ng转换为pcap libpcap能够读取pcap-ng文件)。
答案 1 :(得分:1)
如何将pcap转换为pcap-ng和pcap-ng转换为pcap?
[Linux / Wireshark简易说明]
盖伊·哈里斯回答得非常好,但我会关注最后一个问题,因为我认为很多人(比如我)都会通过,并会在这里寻找关于将pcapng转换为pcap(和反之亦然)的简单解释。 正如Guy提到的,并非所有的pcap-ng文件都可以转换为pcap文件,因为editcap可能无法正常工作,所以不要以pcapng格式保存数据包,而是保存在libcap中。
pcapng - > PCAP
以libcap格式保存捕获的数据包(example - link指的是windows-sample,但在Linux中是相同的)
在感兴趣的路径中打开一个shell,并按以下方式使用tcpdump
tcpdump -r file_to_convert -w file_converted
(如果你没有安装tcpdump,只需用“apt-get install tcpdump”安装它,或者如果你有不同的Linux发行版就搜索google)
pcap - > pcapng
使用Wireshark打开您的pcap文件并将其保存为pcapng格式。你完成了转换。
希望这可以帮助我。
答案 2 :(得分:1)
有一些关于使用PCAP-NG与普通旧PCAP相比在PcapNG.com的好处和缺点的一些很好的信息。
两种格式之间的主要区别在于PCAP-NG允许多种接口类型和注释(即注释)。 PCAP-NG还可以存储名称解析块(即缓存的主机名/ DNS条目),这是一个有用的功能,但也是一个隐私问题。
PcapNG.com还具有在线转换功能,可让您将任何PCAP-NG文件转换回PCAP格式。
