原网页
本文为机翻后人工修饰了一些,总结一句话就是
.pcapng是.pcap的升级版
pcap捕获文件格式自计算机网络早期以来一直是通用的包捕获格式。 几乎所有捕获工具都支持pcap格式。 虽然供应商多年来已经创建了新的格式,但大多数工具支持转换为pcap格式。
虽然pcap今天仍然使用,但它确实有一些限制,这使其他格式更具吸引力。 一种名为“pcapng”的新格式已经开发多年了。 pcapng的目标是解决pcap的一些不足,并为未来创建一种灵活的格式。
CloudShark的pcapng支持将pcapng的每个包注释功能与CloudShark的注释功能结合起来。
Pcapng从哪里来?
.pcap文件格式是用于在网络接口上执行捕获的API的一部分。 在Unix / Linux中,这是通过libpcap库实现的。 在Microsoft Windows中,它是通过WinPcap库实现的。 这些库多年来一直被用来创建许多工具,包括专有的和开源的,但是它们都能够使用pcap文件格式将包捕获输出到磁盘。
pcapng的支持者采取了不同的路线以寻求标准化。 结果是IETF(互联网工程工作组)互联网草案,指定“下一代”(ng)pcap文件格式。 通过使用标准化块和字段,pcapng格式是逻辑的、可扩展的和未来的证明。
Pcapng的优点
1. 支持从多个接口捕获
虽然pcap格式确实包含一些关于捕获接口的信息,但这些接口信息是公共头的一部分而且不存储在每个包的基础上。 这使得在相同的捕获文件中很难将来自不同接口的数据包混合。 每个包的接口信息丢失。 这个问题是通过pcapng解决的,pcapng允许捕获文件使用“接口描述块”定义多个接口。 每个包都可以与特定的接口相关联。 这为从多个接口中获取数据包打开了大门。 这也为利用这种能力的新分析方法打开了大门。
2. 改进的时间戳分辨率
旧的pcap格式的主要缺点之一是它在包时间戳分辨率的限制。 在pcap格式中,每个包包含一个时间分辨率仅准确到微秒(10 -6秒)的标题。 虽然当这种格式首次创建时,这似乎是完全合理的,但今天的普通高速网络需要更高的分辨率来准确测量时间戳。 微秒分辨率提供每秒999999个数据包的分辨率,即使是普通的1千兆以太网链路也很容易超过这个速率。 因此,微秒分辨率无法在这些速度下区分帧之间的真正定时,并使包捕获分析变得不那么有用。 pcapg格式通过定义一种可以用来调整分辨率的灵活格式来克服pcap的时间分辨率限制。 时间戳现在表示为一个64位时间单位,表示自1970年1月1日以来的时间单位数量。 关联的解析字段(if_tsresol)指定时间单元的含义。 分辨率默认为微秒(即10 -6),但可以通过在接口描述区块中设置if_tsresol选项来更改,从而使分辨率更深入,网络速度越来越高。
3 . 在捕获文件中嵌入注释
故障排除网络跟踪可能是一项困难的工作,尤其是在试图在同事或客户之间传递信息时。 虽然CloudShark一直支持对包进行注释的能力,但现在可以生成一个pcapng文件,它既嵌入了顶层和每个包注释。 像Wireshark这样的工具现在提供了编辑这些评论以改进分析的能力。 CloudShark将自己的注释和注释功能与pcapng格式集成在一起,这样您就可以轻松地导入pcapng文件,保存注释,并将CloudShark捕获的内容导出到pcapng格式中。
4 . 存储在捕获文件中的额外元数据
当顶层和每个包的注释非常有用时,pcapng格式允许其他
元数据
片段存储在捕获文件中。 例如,pcap格式不包含关于捕获源或如何创建捕获的任何信息。 在某些情况下,这些信息可能非常有价值。 使用pcapng,接口描述块允许描述字段、操作系统字段和过滤器字段,这些字段可以提供捕获源的额外细节。
5. 可扩展格式
pcapng最大的优点之一是它的可扩展文件格式。 该格式部署了一个通用的块结构,该结构允许工具忽略未理解的块。 这允许格式随着时间的推移而演进。 特定的块是为接口和包定义的。 额外的元数据可以存储在可选块中,例如名称解析块或接口统计块。 还定义了许多实验块。 工具只需要实现少量的块,以支持与原始pcap格式相同级别的功能。 包含元数据的包为兼容分析工具打开了大门。
转型
虽然pcapng当然是未来的包捕获格式,但并不是pcapng的所有特性都得到了广泛的实现(它已经存在了几年)。 虽然存在许多工具来执行包捕获,但它们中的大多数依赖于原始的libpcap库来生成捕获文件,这些文件仍然以旧的pcap格式生成保存的捕获文件。
也就是说,自从将pcapng作为Wireshark和Tshark版本1.8中的默认文件格式以来,出现了更多愿意利用pcapng可扩展字段的应用程序,例如CloudShark。 有了这些,更多的工具将开始使用这种非常有用和标准化的存储网络捕获的方法。