WinPcap威力加强版：这个国产开源工具获得了Google赞助

Npcap是致力于采用Microsoft Light-Weight Filter (NDIS 6 LWF)技术和Windows Filtering Platform (NDIS 6 WFP)技术对当前最流行的WinPcap工具包进行改进的一个项目。

Npcap项目是最初2013年由Nmap网络扫描器项目创始人Gordon Lyon和北京大学罗杨博士发起，由Google公司Summer of Code计划赞助的一个开源项目，遵循MIT协议,与WinPcap一致。

Npcap基于WinPcap 4.1.3源码基础上开发，支持32位和64位架构，在Windows Vista以上版本的系统中，采用NDIS 6技术的Npcap能够比原有的WinPcap数据包（NDIS 5）获得更好的抓包性能，并且稳定性更好。这款工具究竟如何，一起来随FreeBuf看看吧！

工具特色

1. 支持NDIS 6技术； 2. 支持“只允许管理员Administrator”访问Npcap； 3. 支持与WinPcap兼容或并存两种模式； 4. 支持Windows平台的回环（Loopback）数据包采集； 5. 支持Windows平台的回环（Loopback）数据包发送；

安装

在Nmap项目分支下可获得npcap的源码以及编译好的安装包：

本次测试我们下载了目前的最新版（0.07 r3）

*注意：安装时必须勾选最后一项

信任并安装：

使用

3.1 WireShark与Npcap

WireShark最新版在安装时可以检测到Npcap:

安装完成后，打开wireshark我们可以看到一个新增项：Npcap lookback Adapter

3.2 Nmap与Npcap

Nmap已经着手进行与新Npcap的兼容工作，采用优先使用Npcap，其次使用WinPcap的策略：

Npcap for Nmap：

由于Npcap和winpcap一样：是为应用程序提供一种访问网络底层的能力，在实际测试中没有炫酷的UI，更没有与用户的交互界面操作，算得上是朴实无华。

作者问答

Q FreeBuf提问 A 产品开发者罗杨博士回答

Q:做这个产品的初衷？ A：在我研二的时候，参加了Google的一个比赛或者说实习（Google Summer of Coder2013），那个时候入选了Nmap的WinPcap Developer职位，目的就是改进WinPcap。因为WinPcap采用的是旧的NDIS 5的技术，微软已经标记为“过时”，未来随时可能淘汰，也就是说下一个版本的Windows，比如Win11，你可能就用不了WinPcap了。 所以我们组织未雨绸缪，提前规划了Npcap的开发。Npcap采用更新的NDIS 6技术，这也是微软所倡导的，所以性能、功能两方面都比WinPcap更好。不过现在Win10仍然支持旧的WinPcap，所以目前你可以看到Npcap和WinPcap共存

Q:Npcap目前有多少人在开发维护？ A:4个contributor吧,不过绝大多数维护工作还是由我完成。

Q:开发过程中有哪些有意思的事或者遇到的坑以及心得体会？ A:开发过程比较艰苦的是调试内核驱动的bug，驱动程序不知道哪里写的有问题，总是蓝屏...（或许这是大家都比较头疼的问题吧，一个大写的心疼,haha） 比较有意思的是，我硕士导师听说我参加这个项目后，不仅不反对,而且很支持，说能够让中国人自己研发的开源软件走出国门。然后帮我安排了一台机器做实验,这样我就有了两台机器，就可以进行双机调试了。

Q：那么这个项目又是怎样获得软件基金会基金支持的？方不方便透露一下细节（资金支持方面）？ A:这个项目的最初想法就是在Nmap组织发起的,因为我的mentor，也是Nmap的创始人Fyodor与Wireshark的创始人他们很熟，他们一致认为都需要WinPcap的一个更好的改进版。 之前的开发都是通过Google Summer of Code实现赞助的，我参加了2013和2015两次，每次5000美元的资助。现在我收到Nmap组织的长期资助，每月2000美刀左右吧。

Q:npcap未来有哪些方向？除了nmap wireshark外会不会支持更多软件? A:首先Npcap支持所有之前WinPcap所支持的软件,实现了100%的兼容性，包括Nmap Wireshark NetScanTools等。 另外，Npcap还增加了无线网卡数据包抓取的功能，我现在也在和Aircrack-ng工具的作者、pentestbox的作者他们在谈：准备让他们加入对Npcap的支持。Aircrack-ng应该比较出名了，是个专门破解无线密码的工具（这个破WIFI密码的工具相信很多人都用过） 另外Npcap也谈了好几份商业合同，license购买者包括著名的网络服务商Riverbed，也就是Wireshark的母公司。

FreeBuf结语：Npcap是款年轻、优秀的作品，我们衷心希望这一国产开源项目能越做越好。不忘初心，方得始终。

*本文作者：雪碧0xroot，FreeBuf官方出品，转载须注明来自FreeBuf黑客与极客（FreeBuf.COM）