winpcap抓包和原始套接字抓包的区别

1. winpcap抓包和原始套接字抓包的区别

winpcap可以处理底层的包，用winpcap可以自己封装包，可以混杂模式抓包，就是本地局域网发送给别人的包也可以抓到，原始套接字没有这个功能，不能处理链路层包

2. 原始套接字 抓包 抓不到 没有

wincap可以指定网卡的抓包 比较底层， 原始套接字抓包感觉有点儿上层了。感觉而已 没有理论依据 winpcap可以处理底层的包，用winpcap可以自己封装包，可以混杂模式抓包，就是本地局域网发送给别人的包也可以抓到，原始套接字没有这个功能，不能处理链路层包。

3. Winpcap在Wireshark抓包的过程中起的作用是什么

winpcap是底层的，在window上wireshark是依赖于winpcap截包的，在linux上则是依赖于libpcap包的。winpcap是驱动层的，wireshark是应用层的。

4. socket和winpcap编程的区别

winpcap是个抓包工具，socket编程才是你说的标准意义的编程。
在抓包工具上编程，类似于excel的编程，你得了解wincap的一些语法。是软件自己的语法，不符合Posix标准。
一般的socket编程，可以参考posix。

5. C程序，定义了tcp头，用winpcap抓包后打印包的端口号，结果跟wireshark显示的不同。

这个，你没有说清楚，是不是你用raw socket发送？自己填充的数据？还是你只是用c语言解析tcpdump格式的截包。由于头部并非一成不定，要根据字段先解析ethernet头，然后ip头，然后才是tcp头部。如果不正确，请自己对照数据手工解析一下，看看问题在哪里。
如果你使用python的话，用dpkt和pycap就可以。如果用c#类，也有基于winpcap的包，并且把
解析tcp之类的集成进去了。

6. 为什么我基于原始套接字抓包，不能抓到TCP

有具体要求吗？

7. sniffer 和WINPCAP都是抓包软件 有什么区别呢？

其中一点是他们能解开的协议的数量不一样。
sniffer的专家系统非常强大

8. 原始套接字和普通的TCP套接字有什么不同

我们常见的就是原始、tcp、udp3种套接字，主要区别：
     原始套接字可以读写内核没有处理的IP数据包，而流套接字（就是TCP流）只能读取TCP协议的数据，数据包套接字只能读取UDP协议的数据。因此，如果要访问其他协议发送数据必须使用原始套接字。
 
 
如满意请采纳，谢谢！！