Npcap是Nmap项目用于Windows的包嗅探(和发送)库。它基于已经停产的WinPcap库,但速度、可移植性、安全性和效率都得到了改进。特别是,Npcap提供:
WinPcap for Windows 10: Npcap可以在Windows 7和更高版本上工作,通过使用新的NDIS 6轻量级过滤器(LWF) API。它比已弃用的NDIS 5 API要快,微软可以随时移除NDIS 5 API。此外,驱动程序签名与我们的EV证书和微软的会签,所以它甚至与更严格的驱动程序签名要求在Windows 101607。
额外的安全性:可以(选择性地)限制Npcap,以便只有管理员可以嗅出数据包。如果非管理员用户试图通过Nmap或Wireshark等软件使用Npcap,那么用户必须通过用户帐户控制(user Account Control, UAC)对话框来使用驱动程序。这在概念上与UNIX类似,在UNIX中通常需要根访问来捕获数据包。我们还启用了Windows ASLR和DEP安全特性,并对驱动程序、dll和可执行文件进行签名,以防止篡改。
环回包捕获:Npcap能够通过使用Windows过滤平台(WFP)嗅出环回包(同一台机器上服务之间的传输)。安装完成后,Npcap将为您创建一个名为Npcap环回适配器的适配器。如果您是Wireshark用户,选择这个适配器来捕获,您将看到所有环回通信的方式与其他非环回适配器相同。尝试输入命令,如“ping 127.0.0.1”(IPv4)或“ping::1”(IPv6)。
环回包注入:Npcap也能够使用Winsock内核(WSK)技术发送环回包。像Nping这样的用户级软件可以像其他适配器一样使用Npcap环回适配器发送数据包。然后,Npcap会神奇地移除数据包的以太网头,并将有效负载注入Windows TCP/IP堆栈。
Libpcap API: Npcap使用优秀Libpcap库,使Windows应用程序使用一个便携包捕获API还支持在Linux和Mac OS x而WinPcap基于Libpcap 1.0.0从2009年开始,Npcap包括最新Libpcap释放以及改进,我们也Libpcap回馈。
WinPcap兼容性:对于还没有使用Npcap高级特性的应用程序,可以在“WinPcap兼容模式”下安装Npcap。这将取代任何现有的WinPcap安装。如果不选择兼容模式,Npcap可以与WinPcap共存;只知道WinPcap的应用程序将继续使用WinPcap,而其他应用程序可以选择使用更新更快的Npcap驱动程序。
不确定是使用WinPcap还是Npcap?看看我们的特性比较,然后自己决定。
