深度剖析WinPcap之(一)——WinPcap简介

核心提示：WinPcap是Windows平台下访问网络数据链路层的开源库，该库已达到工业标准的应用要求，深度剖析WinPcap之(一)——WinPcap简介，WinPcap允许应用程序绕开网络协议栈来捕获与传递网络数据包，并具有额外的有用特性，如JIT过滤器编辑（JIT filter compilation）与内核级的统计过程，

WinPcap是Windows平台下访问网络数据链路层的开源库，该库已达到工业标准的应用要求。WinPcap允许应用程序绕开网络协议栈来捕获与传递网络数据包，并具有额外的有用特性，包括内核层的数据包过滤、一个网络统计引擎与支持远程数据包捕获。

1.1.　　　　　　 什么是WinPcap

大多数网络应用程序通过被广泛使用的操作系统原语来访问网络，诸如sockets。操作系统已经处理了底层的细节问题（如协议处理，数据包的封装等），并提供与读写文件类似的、熟悉的接口，这使得用该方法可以很容易的访问网络中的数据。

然而有些时候，这种“简单的方式”并不能满足任务要求，因为有些应用程序需要直接访问网络中的数据包。也就是说，应用程序需要访问网络中的“原始”数据包，即没有被操作系统使用网络协议进行处理过的数据包。

WinPcap的目的就是为Win32应用程序提供这种访问方式。WinPcap提供下列功能：

捕获原始数据包，无论是发送到运行WinPcap机器上的数据包，还是在其它主机（共享介质）上进行交换的数据包

在数据包分派给应用程序前，根据用户指定的规则过滤数据包

将原始数据包发送到网络

收集网络流量的统计信息

1.2.　　　　　　 WinPcap的优点

1)　　　　　　 自由 WinPcap遵循BSD open source licence发布。这意味着你的应用程序拥有全部自由来修改与使用它，即使应用程序是商业化的。

2)　　　　　　 高性能 WinPcap实现了有关数据包捕获文献中描述的所有典型的优化方法（比如内核级的过滤与缓冲，减少上下文交换，数据包部分内容复制），加上一些原创的优化方法，如JIT过滤器编辑（JIT filter compilation）与内核级的统计过程。因为这些原因，WinPcap胜过其它可比的方法。