所有,
我花了一天的公平一部分寻找不同PCAP库之前,我承诺写一个PCAP作家,我想说明我的情况,并征求意见。
我已经要求我提供读取PCAP文件和数据包写入到他们所选择的数据库服务的客户端。 然后,客户机可以查询数据库(日期时间范围),结果最终应是包含匹配该范围标准报文中的PCAP文件。
我已经发现了与库到目前为止是,“倾销”,这是写的PCAP似乎在与特定捕获设备相关联的只有缴费。 这不是我的方案的情况。
我使用PCAP.NET阅读原文PCAP文件并解压包。 我的包存储到数据库,然后我可以读出数据库的数据,并重新创建数据包,但我没有找到一个方法来编写查询的结果为PCAP文件。
最简单的情况下,可以考虑类型的数据包的列表的数据结构(所以新向实际写入堆栈溢出,我不知道怎么写的T名单与尖括号没有得到过滤) - 做任何可用的库支持编写结构PCAP?
鉴于这并不似乎是一个常见的场景,我在整个方案的有效性疑惑。 我还要指出的是,我有一个总计有PCAP数据工作了两天,这被认为是概念应用程序的证据,因此这是完全可能的,我缺了一块的知识,使这个微不足道的。
感谢您的宝贵时间和考虑和道歉提前如果我与谷歌的尝试,甚至更多的时间与堆栈溢出搜索忽略了明显的。
克里斯
我相信,Pcap.Net的静态方法PacketDumpFile.Dump()给你正是你需要的。
下面是简单的工具,在C#我写信给ETL转换为PCAP文件,你如何编写PCAP文件的例子。 这会将以太网的链路层包头类型的文件。 请参阅http://www.tcpdump.org/linktypes.html对于其他类型。
这里Visual Studio解决方案https://github.com/chentiangemalc/EtlToCap
using System;
using System.Collections.Generic;
using System.Diagnostics.Eventing.Reader;
using System.IO;
using System.Linq;
using System.Text;
using System.Threading.Tasks;
namespace chentiangemalc
{
public static class NetworkRoutines
{
public static long ConvertEtlToPcap(string source, string destination, UInt32 maxPacketSize)
{
int result = 0;
using (BinaryWriter writer = new BinaryWriter(File.Open(destination, FileMode.Create)))
{
UInt32 magic_number = 0xa1b2c3d4;
UInt16 version_major = 2;
UInt16 version_minor = 4;
Int32 thiszone = 0;
UInt32 sigfigs = 0;
UInt32 snaplen = maxPacketSize;
UInt32 network = 1; // LINKTYPE_ETHERNET
writer.Write(magic_number);
writer.Write(version_major);
writer.Write(version_minor);
writer.Write(thiszone);
writer.Write(sigfigs);
writer.Write(snaplen);
writer.Write(network);
long c = 0;
long t = 0;
using (var reader = new EventLogReader(source, PathType.FilePath))
{
EventRecord record;
while ((record = reader.ReadEvent()) != null)
{
c++;
t++;
if (c == 100000)
{
Console.WriteLine(String.Format("Processed {0} events",t));
c = 0;
}
using (record)
{
if (record.Id == 1001 && record.ProviderName == "Microsoft-Windows-NDIS-PacketCapture")
{
result++;
DateTime timeCreated = (DateTime)record.TimeCreated;
UInt32 ts_sec = (UInt32)((timeCreated.Subtract(new DateTime(1970, 1, 1))).TotalSeconds);
UInt32 ts_usec = (UInt32)(((timeCreated.Subtract(new DateTime(1970, 1, 1))).TotalMilliseconds) - ((UInt32)((timeCreated.Subtract(new DateTime(1970, 1, 1))).TotalSeconds * 1000))) * 1000;
UInt32 incl_len = (UInt32)record.Properties[2].Value;
if (incl_len > maxPacketSize)
{
Console.WriteLine(String.Format("Packet size of {0} exceeded max packet size {1}, packet ignored",incl_len,maxPacketSize));
}
UInt32 orig_len = incl_len;
writer.Write(ts_sec);
writer.Write(ts_usec);
writer.Write(incl_len);
writer.Write(orig_len);
writer.Write((byte[])record.Properties[3].Value);
}
}
}
}
}
return result;
}
}
}