PCAP库功能（编写新的PCAP文件）

Question

我卡住了。

我已经使用PCAP.NET阅读.PCAP文件和数据包写入到数据库中。现在我可以查询数据库并获取匹配约束的数据包。我需要一种方法将结果写入新的.PCAP文件。

问题是，据我所知，生成一个新的PCAP文件的唯一方法是通过DumpFile，它只能通过PacketCommunicator进行初始化，该PacketCommunicator本身绑定到一个PacketDevice。

一个例子可以看这里：http://pcapdotnet.codeplex.com/wikipage?title=Pcap.Net%20Tutorial%20-%20Handling%20offline%20dump%20files&referringTitle=Pcap.Net%20User%20Guide

很好，但在这种情况下我没有设备。

我应该推出自己的PCAP作家只为这目的是什么？

我错过了一些明显的东西吗？

如何将这些数据包转换为新的PCAP文件？

我深信，我忽略了一些东西简单... PCAP对我来说是一个新的领域，我感觉很不爽。在工作中的Unix人员表示，libpcap是winpcap，因此pcap.net基于它提供了直接写入pcap文件的能力。该功能没有在库中公开？

建议非常感谢。

感谢，

克里斯

附：这是对我原来的问题的一个修改：.NET writing PCAP files

Answer 1

该功能未在库中公开吗？

哪个库？

它暴露在libpcap的/ WinPcap的，但打开文件的输出是一个有点尴尬 - 你需要在链路层报头中的pcap_t的捕获装置，用于捕获文件pcap_t，或虚拟pcap_t如果您正在撰写的数据包不是来自实时捕获或现有捕获文件，则您正在编写的文件的类型和快照长度。

我无法找到Pcap.NET，只是教程文档的任何参考文档，但似乎没有任何东西可以让你打开一个虚拟手柄 - 你可以打开一个捕获装置或脱机捕获文件，但我没有看到任何有关创建虚拟手柄从写作打开捕获文件时，您无法读取数据包，但你可以使用 - 在这样的libpcap所有可用的功能/ WinPcap的是不在PCAP曝光。 NET，据我所知。