Que formato Packet Capture é melhor?
Pergunta
Eu estou escrevendo um aplicativo para salvar os pacotes IP capturados para arquivo. Qual das seguintes formato de captura de pacotes é mais adequado para o uso como o formato de arquivo? Clique no link para mais informações sobre cada um.
Além disso, existe um C # biblioteca para qualquer um o formato acima?
Solução
Eu iria para PCAP, como a maioria das ferramentas que eu normalmente trabalho com suporte de TI (Wireshark, tcpdump, etc.)
Outras dicas
Eu uso pcap (porque ele é apoiado por uma série de ferramentas e bibliotecas para cada idioma), mas fazer nota há um outro formato, NCAP .
Eu também recomendaria pcap.
Eu recomendo um grande invólucro WinPcap para uso em C # ou VB.NET (.NET envoltório) chamado Pcap.Net: http : //pcapdotnet.codeplex.com
Todos os programas que o uso libpcap / WinPcap para ler arquivos de captura - e alguns que usam seu próprio código, como Wireshark -. Pode ler um arquivo pcap
bisbilhotar em si, e Wireshark, pode ler arquivos snoop, mas eu não sei o que outras ferramentas podem lê-lo.
Se você precisa ter seus arquivos diretamente legível por snoop (note que Wireshark inclui ferramentas que podem converter arquivos snoop para arquivos pcap e arquivos pcap para bisbilhotar os arquivos), e não precisa tê-los lido por outra coisa senão Wireshark sem conversão, usar snoop. Caso contrário, o uso pcap, como eles vão ser directamente lido por muitos programas mais.
Além disso, eu não conheço nenhum código C #, ou C # wrapper para outro código, a arquivos punho snoop, então se você vai escrever seu código em C #, formato pcap seria melhor.