WinPcap 结构

WinPcap是一个Win32平台的，用于捕获数据包和进行网络分析的体系结构。它包括了一个内核级的数据包过滤器，一个低层动态链接库(packet.dll)，一个高层的，依赖于系统的库(wpcap.dll)。

为什么我们使用术语"体系结构"而不是"库"呢？因为数据捕获是一个低层的行为，它需要和网络适配器，及操作系统的信息交换，特别是网络的实现。所以，一个简单的库是实现不了的。

以下结构显示了WinPcap的不同的组件：

WinPcap的主要结构

首先，捕获系统需要占用操作系统的协议栈，来访问通过网络的原始数据。这就需要有部分内容要运行在操作系统内核中，能直接访问网络接口驱动。这部分内容非常依赖于系统，在我们的解决方案中，它被认为是设备驱动，称为Netgroup Packet Filter(NPF)；我们为Windows 95,Windows 98,Windows ME, Windows NT 4, Windows 2000 和 Windows XP提供了不同版本的驱动。这些驱动都提供了相同的基本功能，比如数据捕获和发送，也提供了一些高级功能，比如可编程的过滤系统和一个监听引擎，前者可以被用来获取过滤后的数据流(比如，可以从指定的端口，仅捕获ftp数据流)，后者提供了一个强大的，但很简单的方式来获取数据流的统计信息。(比如获取网络流量或者两个主机间交换数据的总大小)。

其次，捕获系统必须输出一个端口，以便用户级应用程序利用内核驱动所提供的特性。WinPcap提供了两个不同的库：packet.dll 和 wpcap.dll

第一个提供了低层的API，它可以直接访问驱动的函数，并且依赖于微软操作系统的可编程接口。

第二个提供了更多强大的，高层次的，和libpcap(一个知名的Unix捕获库)兼容的捕获原语。这些函数捕可以在不考虑网络硬件和操作系统的情况下捕获数据。

纵观本文档，我们会首先使用Packet Driver API 或 packet.dll的函数，然后才是wpcap, wpcap.dll 或 libpcap的。