RawCap es un sniffer que tan solo ocupa 17kB y que además no require de ningún driver instalado, como ocurre con otras herramientas y la necesidad de la popular librería WinPcap.
Su uso es tan sencillo como copiar el binario y ejecutarlo, ya que tampoco requiere instalación y es portable. Ideal para llevar en el clásico kit de herramientas de gestión de incidentes o tests de intrusión.
Solo soporta dos argumentos, la dirección IP del interfaz y el fichero destino. Una de las características más importantes es que permite sniffar loopback, conexiones PPP o Wireless.
Como desventaja, y es que no hay software perfecto, es la falta de compatibilidad con Windows Vista y Windows 7, ya que el método para sniffar raw sockets en estos sistemas es distinto y tan solo deja almacenar los paquetes que se reciben (Windows 7) o los que se envían (Windows Vista)
Mediante el argumento --help muestra todas las posibilidades para que se haga una selección:
Una vez identificadas todas las interfaces, se introducen los argumentos:
Rawcap se puede descargar desde: http://www.netresec.com/?page=RawCap
3 comments :
Interesante, estaría bien que comentarais en una entrada el listado de las herramientas que utilizáis según su funcionalidad y dierais vuestro punto de vista particular :D.
Yo por ejemplo no conocía RawCap y obviando el problema que comentas con Windows 7 y Vista, es bastante apañada, y eso de no tirar de WinPcap le hace ganar muchos puntos.
Un saludo.
Interesante!!
Hace poco decubrí otro sniffer, que aunque no he tenido tiempo de revisar a fondo, esta bastante bien a primera vista, entre otras cosas te muestra los archivos que se transfieren en una captura, el prog se llama NetworkMiner
;)
Pues está interesante la herramienta, la probaré.
Publicar un comentario