问转换pcap <-> pcap-ng，pcap-ng工具/库

EN

pcap-ng和pcap有什么区别？

pcap比pcap-ng更老，功能更弱，但更简单。这是a description of pcap file format；这是a description of pcap-ng file format。

有没有用于pcap-ng的工具/库？

较新版本的libpcap可以读取一些pcap-ng文件(所有接口都需要具有相同的链路层头部类型和快照长度，因为libpcap API只能为一个文件提供一种链路层头部类型和一种快照长度)。Wireshark包含一个可以读写多种捕获文件格式的库，包括pcap和pcap-ng，但它没有一个稳定的或有良好文档记录的API (它将在下一个Wireshark主版本中进行重大更改，以更好地支持pcap-ng和其他格式)。

如何将pcap转换为pcap-ng和pcap-ng转换为pcap？

使用Wireshark附带的"editcap“工具。请注意，并不是所有的pcap-ng文件都可以转换为pcap文件-只有可以由libpcap读取的文件才可以转换(如果tcpdump使用的是能够读取pcap-ng文件的较新版本的libpcap，则这些文件也可以通过tcpdump从pcap-ng转换为pcap )。

如何将pcap转换为pcap-ng和pcap-ng转换为pcap？

Linux/Wireshark简易解释

Guy Harris回答得很好，但我将重点放在最后一个问题上，因为我想很多人(像我)都通过了，并将在这里寻找关于将pcapng转换为pcap (反之亦然)的简单解释。正如Guy提到的，并不是所有的pcap-ng文件都可以转换为pcap文件，因为editcap可能无法工作，所以不要将包保存为pcapng格式而是libcap格式。

​

pcapng -> pcap

将捕获的数据包保存为libcap格式(example - link指的是windows-sample，但在Linux中是一样的)

在感兴趣的路径中打开一个shell，并按以下方式使用tcpdump

tcpdump -r file_to_convert -w file_converted

(如果您没有安装tcpdump，只需使用"apt-get install tcpdump“安装它，或者如果您有不同的Linux发行版，请搜索google )

​

pcap -> pcapng

使用Wireshark打开pcap文件，并将其保存为pcapng格式。您已经完成了转换。

希望这能帮到我，因为它对我有帮助。

在PcapNG.com上，有一些关于使用PCAP-NG与普通老式PCAP相比的优点和缺点的好信息。

这两种格式之间的主要区别在于，PCAP-NG允许多种接口类型和注释(即注释)。PCAP-NG还可以存储名称解析块(即缓存的主机名/ DNS条目)，这是一个有用的功能，但也是一个隐私问题。

此外，PcapNG.com还具有在线转换功能，允许您将任何PCAP-NG文件转换回PCAP格式。