A készítők örömmel jelentik be, hogy megjelent a RawCap, amely egy ingyenes Windowsos raw socket sniffer.
A RawCap nagyon hasznos lehet például olyan incidens kezelőknek, akik egy céges hálózatokon lokálisan a kliensekénél akarják megfigyelni a hálózati forgalmat. Néhány példa a RawCap incidens kezelési felhasználási lehetőségeire:
- Egy céges laptop valahol a céges hálózaton érzékeny információkat szivárogtat ki egy külföldi szerver felé, egy USB kulcsos UMTS 3G kapcsolat segítségével. Miután azonosították a belső IP címet a céges hálózaton, az incidens kezelési csoport ( Incident Response Team – IRT), a PsExec sysinternals eszköz segítségével bejuttatja a RawCap.exe-t az érintett laptopra, így megfigyelheti a csomagokat, amelyek a külföldi szerver felé irányulnak a 3G kapcsolaton keresztül. Az elkészült pcap fájl egyértelműen megmutatja, hogy mire használták a 3G kapcsolatot.
- Egy számítógépet vélhetően káros szoftverrel fertőztek meg, amely egy SSL tunneling proxy-t használ a Command-and-Control (C&C) kommunikáció titkosítására. Az adatfolyam, amely a tunnelen keresztül halad először titkosítatlan formában a localhostra (127.0.0.1) továbbítódik és onnan lép be a titkosított csatornába. Az incidens kezelők a RawCap segítségével megfigyelhetik a localhostra érkező és az onnan induló forgalmat.
- Egy céges laptopon, amely csatlakoztatva van a WPA2 titkosítású céges vezeték nélküli hálózathoz, gyanús TCP munkamenetek vannak nyitva más, a WiFi hálózaton jelen lévő gépek felé. Az incidens kezelők futtathatják a RawCap-ot lokálisan az érintett gépeken, hogy megfigyeljék a WiFi hálózaton folyó forgalmat titkosítatlan formában.
A raw sockets Windows Vistás és Windows 7-es implementációjának korlátozásai miatt, a fejlesztők a RawCap-hez a Windows XP operációs rendszer használatát javasolják.
http://www.netresec.com/?page=Blog&month=2011-04&post=RawCap-sniffer-for-Windows-released
http://www.netresec.com/?page=RawCap
