30 abril 2011

Sniffer para windows RawCap

RawCap es un sniffer que tan solo ocupa 17kB y que además no require de ningún driver instalado, como ocurre con otras herramientas y la necesidad de la popular librería WinPcap.

Su uso es tan sencillo como copiar el binario y ejecutarlo, ya que tampoco requiere instalación y es portable. Ideal para llevar en el clásico kit de herramientas de gestión de incidentes o tests de intrusión.

Solo soporta dos argumentos, la dirección IP del interfaz y el fichero destino. Una de las características más importantes es que permite sniffar loopback, conexiones PPP o Wireless.

Como desventaja, y es que no hay software perfecto, es la falta de compatibilidad con Windows Vista y Windows 7, ya que el método para sniffar raw sockets en estos sistemas es distinto y tan solo deja almacenar los paquetes que se reciben (Windows 7) o los que se envían (Windows Vista)

Mediante el argumento --help muestra todas las posibilidades para que se haga una selección:


Una vez identificadas todas las interfaces, se introducen los argumentos:



Rawcap se puede descargar desde: http://www.netresec.com/?page=RawCap

3 comments :

Sebastián Guerrero Selma dijo...

Interesante, estaría bien que comentarais en una entrada el listado de las herramientas que utilizáis según su funcionalidad y dierais vuestro punto de vista particular :D.

Yo por ejemplo no conocía RawCap y obviando el problema que comentas con Windows 7 y Vista, es bastante apañada, y eso de no tirar de WinPcap le hace ganar muchos puntos.

Un saludo.

Tomy Nabo dijo...

Interesante!!

Hace poco decubrí otro sniffer, que aunque no he tenido tiempo de revisar a fondo, esta bastante bien a primera vista, entre otras cosas te muestra los archivos que se transfieren en una captura, el prog se llama NetworkMiner

;)

Benito Camelas dijo...

Pues está interesante la herramienta, la probaré.