答案 0 :(得分:4)
我会选择PCAP,因为我通常使用的大多数工具都支持它(Wireshark,tcpdump等)
答案 1 :(得分:0)
我使用pcap(因为每种语言都支持很多工具和库),但请注意还有另一种格式ncap。
答案 2 :(得分:0)
我也推荐pcap。
我建议在C#或VB.NET(.NET包装器)中使用一个名为Pcap.Net的优秀WinPcap包装器:http://pcapdotnet.codeplex.com
答案 3 :(得分:0)
所有使用libpcap / WinPcap读取捕获文件的程序 - 以及一些使用自己的代码的程序,如Wireshark - 都可以读取pcap文件。
snoop本身和Wireshark可以读取snoop文件,但我不知道其他工具可以读取它。
如果你需要通过snoop直接读取你的文件(注意Wireshark包含可以将snoop文件转换为pcap文件和pcap文件到snoop文件的工具),并且除了Wireshark之外不需要让它们可读没有转换,请使用snoop。否则,请使用pcap,因为它们可以被更多程序直接读取。
另外,我知道没有C#代码或其他代码的C#包装器来处理snoop文件,所以如果你要用C#编写代码,pcap格式会更好。