RawCap (http://www.netresec.com/?page=RawCap) es un sniffer que tan solo ocupa 17kB y que además no require de ningún driver instalado, como ocurre con otras herramientas y la necesidad de la popular librería WinPcap.

Su uso es tan sencillo como copiar el binario y ejecutarlo, ya que tampoco requiere instalación y es portable. Ideal para llevar en el clásico kit de herramientas de gestión de incidentes o tests de intrusión.

Solo soporta dos argumentos, la dirección IP del interfaz y el fichero destino. Una de las características más importantes es que permite sniffar loopback, conexiones PPP o Wireless.

Como desventaja, y es que no hay software perfecto, es la falta de compatibilidad con Windows Vista y Windows 7, ya que el método para sniffar raw sockets en estos sistemas es distinto y tan solo deja almacenar los paquetes que se reciben (Windows 7) o los que se envían (Windows Vista)

Mediante el argumento --help muestra todas las posibilidades para que se haga una selección:



http://3.bp.blogspot.com/-txPT5E8eTGc/TbvdTEkwCcI/AAAAAAAAGOE/AB_bXl9uz3Q/s400/rawcaphelp.png (http://3.bp.blogspot.com/-txPT5E8eTGc/TbvdTEkwCcI/AAAAAAAAGOE/AB_bXl9uz3Q/s1600/rawcaphelp.png)

Una vez identificadas todas las interfaces, se introducen los argumentos:



http://1.bp.blogspot.com/-fSsBYS8sVAM/Tbvdx3htnjI/AAAAAAAAGOI/WS0AzrMtrNQ/s400/rawcapsniff.png (http://1.bp.blogspot.com/-fSsBYS8sVAM/Tbvdx3htnjI/AAAAAAAAGOI/WS0AzrMtrNQ/s1600/rawcapsniff.png)


Rawcap se puede descargar desde: http://www.netresec.com/?page=RawCap



Publicado por Alejandro Ramos en http://www.securitybydefault.com/2011/04/sniffer-para-windows-rawcap.html