WinPcap

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
WinPcap
Entwickler The WinPcap Team
Aktuelle Version 4.1.3
(8. März 2013)
Betriebssystem Windows
Programmier­sprache C
Kategorie Netzwerk-Treiber
Lizenz Freeware
Deutschsprachig Nein
www.winpcap.org

WinPcap ist eine als Freeware vertriebene Programmbibliothek, bestehend aus einem Treiber, der Hardware-nahen Zugriff auf die Netzwerkkarte ermöglicht, und einer Sammlung von Programmen, die den bequemen Zugriff auf die einzelnen für Netzwerke relevanten Schichten des OSI-Modells bieten. Es läuft unter Windows ab Version 2000. Windows 9x wird nur bis zur Version 4.0 beta2 (unstable) und Version 3.1 (stable) unterstützt. Ab Version 4.1.3 wird auch Windows 8 unterstützt.

Die Programmbibliothek basiert auf der von Unix her bekannten Bibliothek libpcap, die die pcap-Schnittstelle implementiert.

Die über das Netzwerk transportierten Pakete werden durch die WinPcap-Module unter Umgehung des Protokollstacks entgegengenommen und weitergeleitet. Somit können Statistiken über die Netzwerkauslastung, die verschiedenen Paketarten und deren Inhalt protokolliert und analysiert werden. Da die Pakete verfügbar sind, bevor sie vom Betriebssystem verarbeitet werden, kann die Schnittstelle auch verwendet werden, um Netzwerkkarten in einem bereits vorhandenem Netzwerk zu simulieren.

Konkrete Anwendung findet WinPcap in Netzwerküberwachungssoftware, wie zum Beispiel Wireshark (ehemals Ethereal), Nmap, AutoScan-Network, Snort, Cain & Abel, WinDump und ntop. Emulationssoftware, wie beispielsweise QEMU oder coLinux kann mit WinPCap direkt in ein Netzwerk eingebunden werden, ohne eine virtuelle Netzwerkkarte (TUN/TAP) im System zu installieren.

Gefährdungen[Bearbeiten]

In diesem Artikel oder Abschnitt fehlen folgende wichtige Informationen: Was ist die Funktion von WinPcap dabei, wenn es doch für die hier beschriebene Aktion lt. FAQ nicht geeignet ist?

Du kannst Wikipedia helfen, indem du sie recherchierst und einfügst, aber kopiere bitte keine fremden Texte in diesen Artikel.

Da die Pakete verfügbar sind, bevor sie vom Betriebssystem verarbeitet werden, kann die Schnittstelle auch verwendet werden, um Schadprogramme in den empfangenen Paketen einzuschleusen, die nicht von den Sicherheitsfunktionen des Betriebssystems oder der unter dem Betriebssystem laufenden Schutzprogramme abgefangen werden. So kann auch schädliche Software in die Systemumgebung eingeführt werden.

WinPcap: The Windows Packet Capture Library, Frequently Asked Questions:[1]

  • Question 17: „Can I use WinPcap to drop the incoming packets? Is it possible to use WinPcap to build a firewall?“
  • Answer 17: „No. WinPcap is implemented as a protocol, therefore it is able to capture the packets, but it can't be used to drop them before they reach the applications. The filtering capabilities of WinPcap work only on the sniffed packets.“
  • But: „In order to intercept the packets before the TCP/IP stack, you must create an intermediate driver.“

Solche „intermediate drivers“ können über separate Prozesse parasitär implementiert werden. Lediglich die Hürde zulässiger Prozessidentifizierung im Betriebssystem ist dann noch zu überwinden.

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. WinPcap Frequently Asked Questions (englisch)