¿Qué formato de captura de paquetes es mejor?

Question

Estoy escribiendo una aplicación para guardar los paquetes IP capturados en el archivo. ¿Cuál de los siguientes formato de captura de paquetes es más adecuado para su uso como el formato de archivo? Haga clic en el enlace para obtener más información sobre cada uno.

• Snoop (rfc1761)

• PCAP

Además, hay una biblioteca de C # para cualquiera de los formato anterior?

Answer 1

Me gustaría ir para el PCAP, como la mayoría de las herramientas por lo general trabajo con el apoyo que (Wireshark, tcpdump, etc.)

WinPCAP envoltura para .NET

Answer 2

Yo uso pcap (ya que es apoyado por una gran cantidad de herramientas y bibliotecas para todos los idiomas), pero hago notar que hay otro formato, NCAP .

Answer 3

Yo también lo recomendaría PCAP.

Yo recomiendo un gran envoltorio WinPcap utilizar en C # o VB.NET (envoltorio NET) llamada Pcap.Net: http : //pcapdotnet.codeplex.com

Answer 4

Todos los programas que utilizan libpcap / WinPcap para leer archivos de captura - y algunos que utilizan su propio código, como Wireshark - puede leer un archivo pcap

.

fisgonear en sí, y Wireshark, puede leer archivos snoop, pero no sé qué otras herramientas pueden leerlo.

Si necesita tener sus archivos directamente legible por Snoop (nótese que Wireshark incluye herramientas que pueden convertir archivos snoop a archivos pcap y archivos pcap que sean escuchados archivos), y no es necesario tenerlos leerse con otros que nada Wireshark sin conversión, utilice snoop. De lo contrario, utilice PCAP, ya que va a ser directamente legible por muchos más programas.

Además, no conozco ningún código C #, C # o envoltura para otro código, para manejar espiar archivos, por lo que si va a escribir el código en C #, formato pcap sería mejor.