Npcap是致力于采用Microsoft Light-Weight Filter (NDIS 6 LWF)技术和Windows Filtering Platform (NDIS 6 WFP)技术对当前最流行的WinPcap工具包进行改进的一个项目。
Npcap项目是最初2013年由Nmap网络扫描器项目创始人Gordon Lyon和北京大学罗杨博士发起,由Google公司Summer of Code计划赞助的一个开源项目,遵循MIT协议,与WinPcap一致。
Npcap基于WinPcap 4.1.3源码基础上开发,支持32位和64位架构,在Windows Vista以上版本的系统中,采用NDIS 6技术的Npcap能够比原有的WinPcap数据包(NDIS 5)获得更好的抓包性能,并且稳定性更好。这款工具究竟如何,一起来随FreeBuf看看吧!
工具特色
1. 支持NDIS 6技术;
2. 支持“只允许管理员Administrator”访问Npcap;
3. 支持与WinPcap兼容或并存两种模式;
4. 支持Windows平台的回环(Loopback)数据包采集;
5. 支持Windows平台的回环(Loopback)数据包发送;
安装
在Nmap项目分支下可获得npcap的源码以及编译好的安装包:
本次测试我们下载了目前的最新版(0.07 r3)
*注意:安装时必须勾选最后一项
信任并安装:
使用
3.1 WireShark与Npcap
WireShark最新版在安装时可以检测到Npcap:
安装完成后,打开wireshark我们可以看到一个新增项:Npcap lookback Adapter
3.2 Nmap与Npcap
Nmap已经着手进行与新Npcap的兼容工作,采用优先使用Npcap,其次使用WinPcap的策略:
Npcap for Nmap:
由于Npcap和winpcap一样:是为应用程序提供一种访问网络底层的能力,在实际测试中没有炫酷的UI,更没有与用户的交互界面操作,算得上是朴实无华。
作者问答
Q FreeBuf提问 A 产品开发者罗杨博士回答
Q:做这个产品的初衷?
A:在我研二的时候,参加了Google的一个比赛或者说实习(Google Summer of Coder2013),那个时候入选了Nmap的WinPcap Developer职位,目的就是改进WinPcap。因为WinPcap采用的是旧的NDIS 5的技术,微软已经标记为“过时”,未来随时可能淘汰,也就是说下一个版本的Windows,比如Win11,你可能就用不了WinPcap了。所以我们组织未雨绸缪,提前规划了Npcap的开发。Npcap采用更新的NDIS 6技术,这也是微软所倡导的,所以性能、功能两方面都比WinPcap更好。不过现在Win10仍然支持旧的WinPcap,所以目前你可以看到Npcap和WinPcap共存
Q:Npcap目前有多少人在开发维护?
A:4个contributor吧,不过绝大多数维护工作还是由我完成。
Q:开发过程中有哪些有意思的事或者遇到的坑以及心得体会?
A:开发过程比较艰苦的是调试内核驱动的bug,驱动程序不知道哪里写的有问题,总是蓝屏…(或许这是大家都比较头疼的问题吧,一个大写的心疼,haha)
比较有意思的是,我硕士导师听说我参加这个项目后,不仅不反对,而且很支持,说能够让中国人自己研发的开源软件走出国门。然后帮我安排了一台机器做实验,这样我就有了两台机器,就可以进行双机调试了。
Q:那么这个项目又是怎样获得软件基金会基金支持的?方不方便透露一下细节(资金支持方面)?
A:这个项目的最初想法就是在Nmap组织发起的,因为我的mentor,也是Nmap的创始人Fyodor与Wireshark的创始人他们很熟,他们一致认为都需要WinPcap的一个更好的改进版。
之前的开发都是通过Google Summer of Code实现赞助的,我参加了2013和2015两次,每次5000美元的资助。现在我收到Nmap组织的长期资助,每月2000美刀左右吧。
Q:npcap未来有哪些方向?除了nmap wireshark外会不会支持更多软件?
A:首先Npcap支持所有之前WinPcap所支持的软件,实现了100%的兼容性,包括Nmap Wireshark NetScanTools等。
另外,Npcap还增加了无线网卡数据包抓取的功能,我现在也在和Aircrack-ng工具的作者、pentestbox的作者他们在谈:准备让他们加入对Npcap的支持。Aircrack-ng应该比较出名了,是个专门破解无线密码的工具(这个破WIFI密码的工具相信很多人都用过)
另外Npcap也谈了好几份商业合同,license购买者包括著名的网络服务商Riverbed,也就是Wireshark的母公司。
FreeBuf结语:Npcap是款年轻、优秀的作品,我们衷心希望这一国产开源项目能越做越好。不忘初心,方得始终。
相关链接
源码:https://github.com/nmap/npcap
安装包:https://github.com/nmap/npcap/releases
*本文作者:雪碧0xroot,FreeBuf官方出品,转载须注明来自FreeBuf黑客与极客(FreeBuf.COM)
关注我们 分享每日精选文章
不容错过
- 警察叔叔,我来帮你找伪基站了banish2015-04-23
- 事件跟踪:有内鬼?黑客极有可能物理接触了索尼的网络嘎巴嘎巴2014-11-27
- StringBleed:SNMP协议“上帝模式”漏洞影响多种网络设备clouds2017-05-01
- 技术分享:逆向海盗船k95机械键盘饭团君2016-04-28
Copyright © 2013 WWW.FREEBUF.COM All Rights Reserved 沪ICP备13033796号
0daybank
已有 24 条评论
but windows 10上需要同时安装winpcap和npcap,才能启用npf,wireshark才能发现网卡
@ 不明真相的群众 正常情况下只需要安装Npcap的,安装Npcap的过程中有报错么?
WireShark最新版是汉化的??
@ 夜尽天明 Wireshark2.0版本开始自带不完整中文了
win10专业版无法选择,,是不是个例
@ 夜尽天明 无法选择该选项的原因是机器已经安装了WinPcap,卸载WinPcap后重新运行安装程序即可。
@ 夜尽天明 注意看下面的提示,你已经装了winpcap了
大神,跪拜中……
赞,支持。
2000美刀一个月,偶呼呼呼呼呼,羡慕中
收藏了,以后添加到教程的拓展资料里
有空尝试一下
我特地卸载了winpcap,然后安装nPcap,但是Nmap仍然没有发现nPcap的存在。
@ test 文章里采用的是Nmap 7.20测试版,目前还没有公开发布。但是可以单独安装Npcap以配合Nmap使用,需要在Npcap安装界面选中最后那个选项。
赞一个,大神!
@ 没吃过紫薯的猫 谢谢支持~~~
赞一个,,有支持Vista以下系统,且支持回环抓包的么?
@ 不知悔改 Npcap采用了很多从Vista才开始有的API,因此无法支持XP系统。XP系统抓回环报文建议采用RawCap (http://www.netresec.com/?page=RawCap)。
这个真的要支持!以前抓回环包只能用RawPcap,各种麻烦,一直期待着Wireshark能直接抓回环,现在终于实现了!!!
谢谢分享谢谢分享
调试驱动Bug真的是同有体会啊,想当初调试一个系统过滤驱动找了最起码半个月才找出bug。。
实验室的牛逼师兄
@ 只为君言
回复 的赞:感谢星哥!