Packet capture library for Windows

The latest development source is in our Github source repository. Windows XP and earlier are not supported; you can use WinPcap for these versions.

Npcap OEM for Commercial Use and Redistribution

We fund the Npcap project by selling Npcap OEM. This special version of Npcap includes enterprise features such as the silent installer and commercial support as well as special license rights allowing customers to redistribute Npcap with their products or to install it on more systems within their organization with easy enterprise deployment. The Npcap free license only allows five installs (with a few exceptions) and does not allow for any redistribution. We offer two commercial license types:

Npcap OEM Redistribution License: The redistribution license is for companies that wish to distribute Npcap OEM within their products (the free Npcap edition does not allow this). Licensees generally use the Npcap OEM silent installer, ensuring a seamless experience for end users. Licensees may choose between a perpetual unlimited license or an annual term license, along with options for commercial support and updates. [Redistribution license details]

Npcap OEM Internal-Use License: The corporate internal license is for organizations that wish to use Npcap OEM internally, without redistribution outside their organization. This allows them to bypass the 5-system usage cap of the Npcap free edition. It includes commercial support and update options, and provides the extra Npcap OEM features such as the silent installer for enterprise-wide deployment. [Internal-use license details]

Documentation

The primary documentation for Npcap is the Npcap User’s Guide. You can also refer to the README file on Github. The changes in each new release are documented in the Npcap Changelog.

Patches, Bug Reports, Questions, Suggestions, etc

Npcap bug reports can be filed on the Npcap Issues Tracker. Please test with the latest version of Npcap first to ensure it hasn’t already been fixed. It is also helpful if you search the current issues first to find out if it has already been reported. Then you can leave a comment on the existing issue rather than creating duplicates. Feature enhancement requests can be made on the tracker as well

Questions, comments and bug reports are always welcome. One option is the Nmap development mailing list (nmap-dev). To subscribe, please visit: http://nmap.org/mailman/listinfo/dev.

Code patches to fix bugs are even better than bug reports. Instructions for creating patch files and sending them are available here.

Bug reports for Npcap can also be filed on the Npcap bug tracker.

Wireshark 3.0.0: обзор нововведений

Wireshark Foundation выпустила финальную stable-версию популярного сетевого анализатора трафика — Wireshark 3.0.0. В новом релизе устранено несколько багов, реализована возможность анализа новых протоколов и заменен драйвер WinPcap на Npcap.

Wireshark — самый популярный в мире анализатор сетевых протоколов. Он используется для устранения неполадок, анализа, развития и обучения.

Новые и обновленные функции

• Улучшен пользовательский интерфейс. Поддержка ряда устаревших функций и библиотек была удалена.
• Функция IP-карты (кнопка «Карта» в диалоговом окне «Конечные точки») была добавлена ​​обратно в модернизированной форме (Ошибка 14693).
• Пакет macOS теперь поставляется с Qt 5.12.1. Ранее он поставлялся с Qt 5.9.7.
• Для пакета macOS требуется версия 10.12 или более поздняя версия macOS (High Sierra/Mojave). Если вы используете старую версию macOS, используйте Wireshark 2.6.
• Wireshark теперь поддерживает шведский и украинский языки (русский он поддерживает с версии 2.9).
• Добавлена поддержка использования токенов PKCS #11 для расшифровки RSA в TLS.
• Установщики Windows теперь поставляются с Qt 5.12.1. Ранее они поставлялись с Qt 5.12.0.
• Установщики Windows .exe теперь поставляются с Npcap вместо WinPcap. Помимо активной поддержки (проектом nmap), Npcap поддерживает петлевой захват и захват режима мониторинга 802.11 Wi-Fi (если поддерживается драйвером NIC).
• Метки времени разговора поддерживаются для протоколов UDP/UDP-Lite.
• TShark теперь поддерживает опцию -G elastic-mapping, которая генерирует файл сопоставления ElasticSearch.
• Диалог «Захват информации» был добавлен обратно (ошибка 12004).
• Диссекторы Ethernet и IEEE 802.11 больше не проверяют последовательность проверки кадра (контрольную сумму) по умолчанию.
• Диссектор TCP получил новое предпочтение «Повторная сборка неупорядоченных сегментов», чтобы исправить проблемы с вскрытием и расшифровкой в ​​случае, если сегменты TCP получены не по порядку.
• Поддержка расшифровки для нового диссектора WireGuard (ошибка 15011, требуется Libgcrypt 1.8).
• Диссектор BOOTP был переименован в DHCP. За исключением «bootp.dhcp», старые поля фильтра дисплея «bootp. *» все еще поддерживаются, но могут быть удалены в будущем выпуске.
• SSL-диссектор был переименован в TLS. Как и в случае с BOOTP, старые поля фильтра отображения «ssl. *» поддерживаются, но могут быть удалены в будущем выпуске.
• APT-X был переименован в aptX.
• При импорте из шестнадцатеричного дампа теперь можно добавить заголовок ExportPDU с именем полезной нагрузки. Это вызывает конкретный диссектор напрямую без нижестоящих протоколов.
• Интерфейсы extshap sshdump и ciscodump теперь могут использовать прокси для соединения SSH.
• Dumpcap теперь поддерживает -a packets:NUM и -b packets:NUM варианты.

Поддержка новых протоколов

Помимо обновления огромного количества протоколов, уже существующих в Wireshark, разработчики добавили поддержку следующих:

Apple Wireless Direct Link (AWDL), Basic Transport Protocol (BTP), BLIP Couchbase Mobile (BLIP), CDMA 2000, Circuit Emulation Service over Ethernet (CESoETH), Cisco Meraki Discovery Protocol (MDP), Distributed Ruby (DRb), DXL, E1AP (5G), EVS (3GPP TS 26.445 A.2 EVS RTP), Exablaze trailers, General Circuit Services Notification Application Protocol (GCSNA), GeoNetworking (GeoNw), GLOW Lawo Emberplus Data format, Great Britain Companion Specification (GBCS) used in the Smart Metering Equipment Technical Specifications (SMETS), GSM-R (User-to-User Information Element usage), HI3CCLinkData, Intelligent Transport Systems (ITS) application level, ISO 13400-2 Diagnostic communication over Internet Protocol (DoIP), ITU-t X.696 Octet Encoding Rules (OER), Local Number Portability Database Query Protocol (ANSI), MsgPack, NGAP (5G), NR (5G) PDCP, Osmocom Generic Subscriber Update Protocol (GSUP), PCOM protocol, PKCS#10 (RFC2986 Certification Request Syntax), PROXY (v2), S101 Lawo Emberplus transport frame, Secure Reliable Transport Protocol (SRT), Spirent Test Center Signature decoding for Ethernet and FibreChannel (STCSIG, disabled by default), Sybase-specific portions of TDS, systemd Journal Export, TeamSpeak 3 DNS, TPM 2.0, Ubiquiti Discovery Protocol (UBDP), WireGuard, XnAP (5G), and Z39.50 Information Retrieval Protocol.

WinPcap → Npcap

Самым актуальным нововведением является замена WinPcap на Npcap. Хотя библиотека Npcap и основана на WinPcap/Libpcap, однако она более оптимизирована, имеет лучшую скорость работы, портативность и безопасность. Также немаловажным фактором является поддержка Npcap разработчиками Nmap Project, в отличие от необновляемой с 2013 года WinPcap.

• Блог компании Инфосистемы Джет
• Информационная безопасность
• Сетевые технологии

Npcap: что это за программа

Npcap — это мощный инструмент, который предоставляет доступ к работе с сетевыми пакетами в операционной системе Windows. Он является бесплатной альтернативой более известному WinPcap, широко используемому для анализа сетевых данных и разработки сетевых приложений.

С помощью Npcap можно легко захватывать пакеты данных, проходящие через сетевой интерфейс, а также анализировать их с использованием различных инструментов. Благодаря поддержке различных протоколов, включая Ethernet, IPv4, IPv6, TCP и UDP, Npcap обеспечивает гибкую и мощную функциональность для работы с сетевыми данными.

Npcap предлагает ряд преимуществ по сравнению с другими решениями. Он обладает высокой производительностью, поддерживает 802.11 и позволяет с легкостью интегрироваться с популярными приложениями для анализа сетевых данных и безопасности, такими как Wireshark и Nmap.

Кроме того, Npcap обеспечивает открытый и расширяемый API, позволяющий разработчикам создавать свои инструменты и приложения для работы с сетевыми данными. Также он имеет поддержку 64-битных систем и может работать на множестве платформ Windows, включая Windows 7, 8 и 10.

Преимущества Npcap

1. Поддержка высокоскоростных сетевых интерфейсов: Npcap позволяет захватывать пакеты с высокоскоростных сетевых интерфейсов, включая 10 Гигабит Ethernet и более быстрые сетевые интерфейсы.
2. Полная совместимость с WinPcap: Npcap полностью совместим с Java и другими приложениями, которые используют WinPcap API.
3. Поддержка современных операционных систем: Npcap поддерживает Windows 10, Windows 8/8.1, Windows 7, Windows Vista и Windows XP SP3.
4. Расширенные возможности: Npcap предлагает дополнительные возможности, такие как захват пакетов в режиме прослушивания, фильтрация пакетов, отправка пользовательских пакетов и другие.
5. Совместимость с программным обеспечением Wireshark и Wireshark: Npcap позволяет использовать Wireshark и TShark для анализа и обработки захваченных пакетов сетевого трафика.

Все эти преимущества делают Npcap мощным инструментом для захвата и анализа сетевого трафика на различных операционных системах Windows.

Использование Npcap

Вот некоторые основные способы использования Npcap:

1. Захват трафика в реальном времени: Npcap позволяет захватывать и анализировать сетевой трафик в режиме реального времени. Это полезно для отслеживания сетевых атак, отладки приложений, мониторинга сети и других задач.
2. Фильтрация данных: Npcap обеспечивает возможность фильтровать захваченные данные с использованием различных критериев, таких как IP-адрес, порт, протокол и т.д. Это позволяет сосредоточиться только на нужной информации и упростить процесс анализа.
3. Экспорт данных: Npcap поддерживает экспорт захваченного трафика в различные форматы, такие как .pcap, .csv и .txt. Это позволяет сохранять и анализировать данные с помощью других инструментов или использовать их для создания отчетов.
4. Интеграция с другими инструментами: Npcap может быть легко интегрирован с другими инструментами и программами, такими как Wireshark, Nmap и Metasploit. Это обеспечивает более удобное использование и расширение функциональности.

Npcap предоставляет разработчикам и администраторам сетей мощные возможности захвата и анализа сетевого трафика. Он является важным инструментом для обеспечения безопасности сети, отладки приложений и оптимизации работы сетевых соединений.

Установка Npcap

Для установки Npcap вам потребуется выполнить следующие шаги:

1. Скачайте установочный файл Npcap с официального сайта проекта.
2. Запустите скачанный установочный файл и следуйте инструкциям установщика.
3. Во время установки, вам может быть предложено выбрать режим установки: выберите «WinPcap API-compatible mode» для совместимости с приложениями, использующими WinPcap или выберите «Npcap OEM-only Mode» для работы с Npcap-специфичными функциями.
4. Дождитесь завершения установки. После этого Npcap будет готов к использованию.

После установки Npcap вы сможете использовать его функционал для перехвата пакетов сетевого трафика и проведения анализа сетевых протоколов.

При подготовке материала использовались источники:
https://npcap.com/
https://habr.com/ru/companies/jetinfosystems/articles/442530/
https://protank.su/npcap-cto-eto-za-programma/