<div dir="ltr"><span style="font-family:arial,sans-serif;font-size:13px">Hi,</span><div style="font-family:arial,sans-serif;font-size:13px">thank you for the prompt and valuable response.</div><div style="font-family:arial,sans-serif;font-size:13px">
<br></div><div style="font-family:arial,sans-serif;font-size:13px">I have already considered your last option pcausa/rawether but the owner wrote me that it is not suitable for my need.</div><div style="font-family:arial,sans-serif;font-size:13px">
Do you think I would have same issues using NetMon? Here are the reasons of Mr Divine, owner of PCASA: </div><div style="font-family:arial,sans-serif;font-size:13px"><br></div><div style="font-family:arial,sans-serif;font-size:13px">
<p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">"Rawether is based on a NDIS protocol driver. </span><span style="color:rgb(31,73,125);font-family:Calibri,sans-serif;font-size:11pt">A NDIS protocol driver is a peer to the host OS TCP/IP protocol driver. All incoming packets ALWAYS are indicates to all peer NDIS protocol drivers. This is not good for the implementation that you have in mind. In a product such as I think you have in mind you want to be able to handle some packets privately without the host OS seeing them. You would manipulate these “private” packets is some way and reinject them into the network flow. </span><span style="color:rgb(31,73,125);font-family:Calibri,sans-serif;font-size:11pt">You can’t do this sort of manipulation with a NDIS protocol driver."</span></p>
<p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif"><span style="color:rgb(31,73,125);font-family:Calibri,sans-serif;font-size:11pt"><br></span></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
<span style="font-size:11pt;font-family:Calibri,sans-serif;color:rgb(31,73,125)">Thank you anyway for your time </span></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">
<br></p><p class="MsoNormal" style="margin:0in 0in 0.0001pt;font-size:12pt;font-family:'Times New Roman',serif">Giulio</p></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">2014-02-13 20:41 GMT+01:00 Blibbet <span dir="ltr"><<a href="mailto:blibbet@gmail.com" target="_blank">blibbet@gmail.com</a>></span>:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="">> I was wondering if there are any alternatives (free or commercial) which<br>
> can help me to get better results.<br>
><br></div>
> For Linux I know of *PF_RING*, but there is no version for Windows.<br>
<br>
1) NetMon<br>
<br>
NetMon is the Microsoft packet capturing library and API and app. Windows-centric, created by the LAN Manager team years ago.<br>
<br>
Advantage of NetMon over WinPcap: the network stack vendor maintains it, and cares about performance. Whereas Winpcap uses unix-centric libpcap code/logic and tries to fit this into the Windows driver model, and this model doesn't properly handle all platform differences.<br>

<br>
NetMon is maintained, whereas whereas Windows Winpcap has been mostly ignored for many years, and Windows has completely changed their network stack during that time.<br>
<br>
Disadvantage: it's closed-source freeware, not open source like libpcap. There are a few filters on CodePlex.com for NetMon that're open source, though. You'll be reliant on MSDN for help, but there's a sample or two that does as much as the WinPcap samples, not hard to use.<br>

<br>
Make sure you ignore all the NetMon v2 stuff and only look at v3 or later. MSDN is really bad at showing you the old stuff first.<br>
<br>
<a href="http://www.microsoft.com/en-us/download/details.aspx?id=4865" target="_blank">http://www.microsoft.com/en-<u></u>us/download/details.aspx?id=<u></u>4865</a><br>
<a href="http://nmexperts.codeplex.com/" target="_blank">http://nmexperts.codeplex.com/</a><br>
<a href="http://nmparsers.codeplex.com/" target="_blank">http://nmparsers.codeplex.com/</a><br>
<br>
2) NMap's WinPcap.<br>
<br>
I think they have a fork of WinPcap that's getting updates, unlike the main one.<br>
<br>
2) For third party libraries, check out:<br>
<a href="http://www.pcausa.com" target="_blank">http://www.pcausa.com</a><br>
or<br>
<a href="http://www.rawether.net/" target="_blank">http://www.rawether.net/</a><br>
The OSRonline.com's ntdev mailing list is where the main NT consultants hang out, and talk about NDIS perf issues with libs like this, among other things. Search their archives for opinions one these two libs.<br>
<br>
HTH,<br>
Lee<br>
</blockquote></div><br></div>