- Winpcap
-
WinPcap Entwickler: The WinPcap Team Aktuelle Version: 4.0.2
(9. November 2007)Betriebssystem: Windows Programmiersprache: C Kategorie: Netzwerk-Treiber Lizenz: Freie Software Deutschsprachig: Nein winpcap.org WinPcap ist eine freie Programmbibliothek, bestehend aus einem Treiber, der Hardware-nahen Zugriff auf die Netzwerkkarte ermöglicht und einer Sammlung von Programmen, die den bequemen Zugriff auf die einzelnen für Netzwerke relevanten Schichten des OSI-Modells bieten. Es läuft unter Windows ab Version 2000. Windows 9x wird nur bis zur Version 4.0 beta2 (unstable) und Version 3.1 (stable) unterstützt.
Die Programmbibliothek basiert auf der von Unix her bekannten Bibliothek „libpcap“.
Die über das Netzwerk transportierten Pakete werden durch die WinPcap-Module unter Umgehung des Protokollstacks entgegengenommen und weitergeleitet. Somit können Statistiken über die Netzwerkauslastung, die verschiedenen Paketarten und deren Inhalt protokolliert und analysiert werden. Da die Pakete verfügbar sind, bevor sie vom Betriebssystem verarbeitet werden, kann die Schnittstelle auch verwendet werden, um Netzwerkkarten in einem bereits vorhandenem Netzwerk zu simulieren.
Konkrete Anwendung findet WinPcap in Netzwerküberwachungssoftware, wie zum Beispiel Wireshark (ehemals Ethereal), Nmap, AutoScan-Network, Snort, Cain & Abel, WinDump und ntop. Emulationssoftware, wie beispielsweise Qemu oder coLinux kann mit WinPCap direkt in ein Netzwerk eingebunden werden, ohne eine virtuelle Netzwerkkarte (TUN/TAP) im System zu installieren.
Gefährdungen
Da die Pakete verfügbar sind, bevor sie vom Betriebssystem verarbeitet werden, kann die Schnittstelle auch verwendet werden, um Schadprogramme in den empfangenen Paketen einzuschleusen, die nicht von den Sicherheitsfunktionen des Betriebssystems oder der unter dem Betriebssystem laufenden Schutzprogramme abgefangen werden. So kann auch schädliche Software in die Systemumgebung eingeführt werden.
Quelle[1]: WinPcap: The Windows Packet Capture Library, Frequently Asked Questions,
- Question 17: "Can I use WinPcap to drop the incoming packets? Is it possible to use WinPcap to build a firewall?",
- Answer 17: "No. WinPcap is implemented as a protocol, therefore it is able to capture the packets, but it can't be used to drop them before they reach the applications. The filtering capabilities of WinPcap work only on the sniffed packets."
- But: "In order to intercept the packets before the TCP/IP stack, you must create an intermediate driver."
Tatsache ist dann wohl, dass solche „intermediate drivers“ über separate Prozesse parasitär implementiert werden können. Lediglich die Hürde zulässiger Prozessidentifizierung im Betriebssystem ist dann noch zu überwinden.
Weblinks
- winpcap.org (englisch) – Offizielle Projektseite
Einzelnachweise
- ↑ WinPcap Frequently Asked Questions (englisch)
Wikimedia Foundation.
