PCAP庫功能（編寫新的PCAP文件）

Question

我卡住了。

我已經使用PCAP.NET閱讀.PCAP文件和數據包寫入到數據庫中。現在我可以查詢數據庫並獲取匹配約束的數據包。我需要一種方法將結果寫入新的.PCAP文件。

問題是，據我所知，生成一個新的PCAP文件的唯一方法是通過DumpFile，它只能通過PacketCommunicator進行初始化，該PacketCommunicator本身綁定到一個PacketDevice。

一個例子可以看這裏：http://pcapdotnet.codeplex.com/wikipage?title=Pcap.Net%20Tutorial%20-%20Handling%20offline%20dump%20files&referringTitle=Pcap.Net%20User%20Guide

很好，但在這種情況下我沒有設備。

我應該推出自己的PCAP作家只爲這目的是什麼？

我錯過了一些明顯的東西嗎？

如何將這些數據包轉換爲新的PCAP文件？

我深信，我忽略了一些東西簡單... PCAP對我來說是一個新的領域，我感覺很不爽。在工作中的Unix人員表示，libpcap是winpcap，因此pcap.net基於它提供了直接寫入pcap文件的能力。該功能沒有在庫中公開？

建議非常感謝。

感謝，

克里斯

附：這是對我原來的問題的一個修改：.NET writing PCAP files

Answer 1

該功能未在庫中公開嗎？

哪個庫？

它暴露在libpcap的/ WinPcap的，但打開文件的輸出是一個有點尷尬 - 你需要在鏈路層報頭中的pcap_t的捕獲裝置，用於捕獲文件pcap_t，或虛擬pcap_t如果您正在撰寫的數據包不是來自實時捕獲或現有捕獲文件，則您正在編寫的文件的類型和快照長度。

我無法找到Pcap.NET，只是教程文檔的任何參考文檔，但似乎沒有任何東西可以讓你打開一個虛擬手柄 - 你可以打開一個捕獲裝置或脫機捕獲文件，但我沒有看到任何有關創建虛擬手柄從寫作打開捕獲文件時，您無法讀取數據包，但你可以使用 - 在這樣的libpcap所有可用的功能/ WinPcap的是不在PCAP曝光。 NET，據我所知。