10:20
14/4/2011

RawCap to nowy, darmowy, a przede wszystkim *lekki* sniffer dla Windows. Nie potrzebuje żadnych zewnętrznych bibliotek, a jego rozmiar to tylko 17kB. I to nie koniec zalet.

RawCap

RawCap

RawCap

RawCap nie wymaga instalacji i jest w stanie sniffować interface’y WiFi oraz PPP. Program charakteryzuje się minimalnym narzutem na pamięć i procesor. Obsługa też jest prosta: RawCap przyjmuje tylko dwa argumenty — adres IP lub interface, który będzie sniffowany oraz ścieżkę do pliku, do którego zapisane zostaną przechwycone dane.

C:\>RawCap.exe 192.168.1.1 sniffed.pcap

Odpalenie RawCapa bez parametrów pokaże wszystkie dostępne interface’y.

Do czego się przyda?

Autorzy RawCapa sugerują, że jest to idealne narzędzie dla zespołów reagowania na incydenty. Jako przykładowy scenariusz podają skorzystanie z PsExec (SysInternals) i wstrzyknięcie RawCap.exe na podejrzaną stację w celu przeprowadzenia analizy połączeń wychodzących.

RawCap świetnie sprawdzi się też na komputerach, na których nie ma zainstalowanych sterowników WinPcap czy NDIS — RawCap korzysta z wbudowanych w Windows Raw Socets.

P.S. .pcap został niedawno oficjalnym typem MIME ;)

Przeczytaj także:



26 komentarzy

Dodaj komentarz
  1. literówka:
    “wbudowanych w Windows Raw Socets.” => “Sockets”

    • Może administrator doda opcję zgłoś literówkę… szczerze mówiąc czytam niebezpiecznika od jakiegoś czasu i zaczynają mnie już irytować uwagi polonistów.

    • @szwagron: a mnie irytuje, że niebezpiecznik jest tylko w formule bloga, a nie wiki oraz że jak dla mnie mało kontentu releasuje, ale siedzę cicho, że takie poważne inefficiencies tu są. Polityka moderowania komentarzy i literówek to pikuś.

    • @światławóda:
      A mnie irritates że starasz się uczynić swoją wypowiedź smarter poprzez using angielskiego naprzemian z polskim

  2. Rozumiem, że program nie dostarcza żadnego interfejsu użytkownika do wyświetlania i filtrowania widoku pakietów. Wireshark jednak w dalszym ciągu potrzebny.

    • Dostarcza interfejs wiersza poleceń;) Częstokroć wygodniejszy od przeładowanego gui. Wystarczy poczytać helpa.

  3. ciekawe..

  4. “…Nie potrzebuje żadnych zewnętrznych bibliotek…” Poza .net framework 2.0 -_-

    • W przypadku Visty i 7 to prawda bo zintegrowane z systemem są:
      3.0 Windows Vista
      3.5 Windows 7

  5. .net 2.0? a do tego przykładowy scenariusz użyjcie psexec sysinternals czy oni sobie zdają sprawę jakie warunki muszą spełniać podejrzane stacje?
    ale ok, ma 17kB

  6. The main problem with raw socket sniffing in Vista and Win7 is that you might not receive either incoming packets (Win7) or outgoing packets (Vista) – hmmm

  7. Ta zależność od .NET mnie rozwaliła :) To w znacznym stopniu tłumaczy mały rozmiar aplikacji.

    • A co? Łudziłeś się, że cały program wraz ze sterownikami do interfejsów sieciowych napisali w assemblerze? Jeśli coś jest zbyt piękne, na pewno nie jest prawdziwe! :)

  8. jak na .net, to ciekawe czego nie snifuje :)

  9. dlugo nie trzeba szukac i nawet oficjalnie przyznaja: “The main problem with raw socket sniffing in Vista and Win7 is that you might not receive either incoming packets (Win7) or outgoing packets (Vista). ” :)

    • LOL! :) No to postaw sobie Win7 i Vistę na dwóch VM-ach i zmostkuj ich interfejsy sieciowe. Na jednym sniffuj pakiety wychodzące a drugim – przychodzące!

    • @Marcin Maziarz
      Na Viście wychodzące, a na Win7 przychodzące. :)

    • @Bartek – Chyba nie do końca zrozumiałeś opis. Napisali, że możesz NIE otrzymać pakietów przychodzących w Win7 lub wychodzących w Vista. No to chyba logiczne, że trzeba przechwytywać ruch przeciwstawny do nieobsługiwanego czyli “out” pod Win7 i “in” pod Vistą.

    • @Marcin Maziarz ale moja wersja ma praktyczne zastosowanie – rozbawiające.

  10. zgadzam sie ze szwagronem: dalibyście spokój z tym poprawianiem literówek. nudne! nie o literówki tu chodzi…

  11. Bez sensu… Chyba trojany lepiej dają radę i nie wymagają .NET :P

  12. Mam pytanie czy da sie tym sniffowac router tak abym mogl zobaczyc czy ktos z zewnatrz nie probuje sie laczyc? Ewentualnie bede wdzieczny za polecenie jakiegos programu do monitoringu polaczen przychodzacych po wifi do zwyklego routera tp linka bez modyfikowanego softu.

  13. netcat

  14. Czyli w sumie bezużyteczne ? Skoro i tak wymaga admina równie dobrze można wiresharka używać a gubienie pakietów w czymkolwiek nowszym niż win XP to jednak malutka wada w packetdumperze.

    W sumie mogłoby być wygodne jak trzeba userowi coś zdalnie zdebugować (wrzucić żeby odpalał się z domeny i zapisywał na dysk sieciowy) i jak w korpo jest Win XP

  15. To już chyba mój “sniffer” napisany w Pythonie byłby bardziej użyteczny..
    Przynajmniej potrafi analizować pakiety “w locie”, a to wszystko to wciąż tylko 600 linii kodu.

  16. Nie działa z IPv6 :(

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: