WinPcap

aus Wikipedia, der freien Enzyklopädie
Wechseln zu: Navigation, Suche
WinPcap
Entwickler The WinPcap Team
Aktuelle Version 4.1.3
(8. März 2013)
Betriebssystem Windows
Programmier­sprache C
Kategorie Netzwerk-Treiber
Lizenz Freeware
Deutschsprachig Nein
www.winpcap.org

WinPcap ist eine als Freeware vertriebene Programmbibliothek, bestehend aus einem Treiber, der Hardware-nahen Zugriff auf die Netzwerkkarte ermöglicht, und einer Sammlung von Programmen, die den bequemen Zugriff auf die einzelnen für Netzwerke relevanten Schichten des OSI-Modells bieten. Es läuft unter Windows ab Version 2000. Windows 9x wird nur bis zur Version 4.0 beta2 (unstable) und Version 3.1 (stable) unterstützt. Ab Version 4.1.3 wird auch Windows 8 unterstützt.

Die Programmbibliothek basiert auf der von Unix her bekannten Bibliothek libpcap, die die pcap-Schnittstelle implementiert.

Die über das Netzwerk transportierten Pakete werden durch die WinPcap-Module unter Umgehung des Protokollstacks entgegengenommen und weitergeleitet. Somit können Statistiken über die Netzwerkauslastung, die verschiedenen Paketarten und deren Inhalt protokolliert und analysiert werden. Da die Pakete verfügbar sind, bevor sie vom Betriebssystem verarbeitet werden, kann die Schnittstelle auch verwendet werden, um Netzwerkkarten in einem bereits vorhandenem Netzwerk zu simulieren.

Konkrete Anwendung findet WinPcap in Netzwerküberwachungssoftware, wie zum Beispiel Wireshark (ehemals Ethereal), Nmap, AutoScan-Network, Snort, Cain & Abel, WinDump und ntop. Emulationssoftware, wie beispielsweise QEMU oder coLinux kann mit WinPCap direkt in ein Netzwerk eingebunden werden, ohne eine virtuelle Netzwerkkarte (TUN/TAP) im System zu installieren.

Gefährdungen[Bearbeiten]

In diesem Artikel oder Abschnitt fehlen folgende wichtige Informationen: Was ist die Funktion von WinPcap dabei, wenn es doch für die hier beschriebene Aktion lt. FAQ nicht geeignet ist?

Du kannst Wikipedia helfen, indem du sie recherchierst und einfügst, aber kopiere bitte keine fremden Texte in diesen Artikel.

Da die Pakete verfügbar sind, bevor sie vom Betriebssystem verarbeitet werden, kann die Schnittstelle auch verwendet werden, um Schadprogramme in den empfangenen Paketen einzuschleusen, die nicht von den Sicherheitsfunktionen des Betriebssystems oder der unter dem Betriebssystem laufenden Schutzprogramme abgefangen werden. So kann auch schädliche Software in die Systemumgebung eingeführt werden.

WinPcap: Die Windows Packet Capture Library, FAQ:[1]

  • Frage 17: „Kann ich WinPcap dazu verwenden, um eingehende Pakete zu verwerfen? Ist es möglich, WinPcap zu verwenden, um eine Firewall zu erstellen?“
  • Antwort 17: „Nein. WinPcap ist als ein Protokoll implementiert, daher ist es in der Lage, die Pakete zu erfassen, aber es kann nicht verwendet werden, um sie zu löschen, bevor sie die Anwendungen erreichen. Die Filterfunktionen von WinPcap arbeiten nur auf die abgefangene Pakete.“
  • Aber: "Um die Pakete vor der TCP/IP-Protokollstapel abzufangen, muss man einen intermediate-Treiber schaffen."

Solche „intermediate drivers“ können über separate Prozesse parasitär implementiert werden. Lediglich die Hürde zulässiger Prozessidentifizierung im Betriebssystem ist dann noch zu überwinden.

Weblinks[Bearbeiten]

Einzelnachweise[Bearbeiten]

  1. WinPcap Frequently Asked Questions (englisch)