RawCap es un sniffer que tan solo ocupa 17kB y que además no require de ningún driver instalado, como ocurre con otras herramientas y la necesidad de la popular librería WinPcap.

Su uso es tan sencillo como copiar el binario y ejecutarlo, ya que tampoco requiere instalación y es portable. Ideal para llevar en el clásico kit de herramientas de gestión de incidentes o tests de intrusión.

Solo soporta dos argumentos, la dirección IP del interfaz y el fichero destino. Una de las características más importantes es que permite sniffar loopback, conexiones PPP o Wireless.

Como desventaja, y es que no hay software perfecto, es la falta de compatibilidad con Windows Vista y Windows 7, ya que el método para sniffar raw sockets en estos sistemas es distinto y tan solo deja almacenar los paquetes que se reciben (Windows 7) o los que se envían (Windows Vista)

Mediante el argumento --help muestra todas las posibilidades para que se haga una selección:



Una vez identificadas todas las interfaces, se introducen los argumentos:




Rawcap se puede descargar desde: http://www.netresec.com/?page=RawCap