Пользователям частенько навязывают ненужным им софт через установщик популярных программ. Таким способом распространяется и WinPcap. Что это за программа, безопасна ли она и как ею пользоваться, вы узнаете из этой статьи.
О программе
WinPcap – низкоуровневая библиотека 32-битных систем Windows, для взаимодействия с драйверами сетевых интерфейсов. Она позволяет захватывать и передавать сетевые пакеты в обход стека протоколов. Утилита узкопрофильная и имеет спрос среди программистов и сетевых администраторов. Если вы не относитесь к их числу и не желаете разбираться в этой утилите – удаляйте ее из компьютера.
Возможности
Большинство сетевых приложений получают доступ к сети через широко используемые в операционных системах сокеты (например, пара IP-адрес и номер порта образует сокет). Назовем это, “легкий путь”. Он предоставляет доступ к данным по сети (низкоуровневые данные), которые пропускает через себя операционная система (транспортная обработка протокола, пакет повторной сборки и т.д.) и предоставляет знакомый интерфейс, который используется для чтения и записи файлов.
Но иногда, “легкий путь” не может справиться с этой задачей, так как некоторые приложения требуют прямого доступа к пакетам в сети. То есть, они должны иметь доступ к “необработанным” данным по сети без посредства обработки протокола операционной системой.
Целью WinPcap является предоставление такого рода доступа к приложениям Win32. Она предоставляет средства для:
- захвата сырых (необработанных) пакетов тех, что адресованы к машине на которой он работает и тех, которыми обмениваются другие хосты (на совместно используемом носителе данных);
- фильтрации пакетов перед отправкой, в соответствии с правилами, которые задал пользователь;
- передачи исходных данных пакетов в сети;
- сбора статистической информации о сетевом трафике.
Такое возможно благодаря драйверу устройства, который установлен внутри сетевой части Win32, и нескольких библиотек .dll.
Какие программы могут использовать библиотеку?
Интерфейс программирования WinPcap может использоваться многими типами сетевых инструментов для безопасности, анализа, поиска, мониторинга и устранения неисправностей. Классические инструменты, которые работают с WinPcap:
- анализаторы сетей и протоколов;
- сетевые мониторы;
- регистраторы трафика;
- генераторы трафика;
- маршрутизаторы;
- системы обнаружения сетевых вторжений;
- сетевые сканеры;
- средства безопасности.
Среди таких инструментов можно выделить:
- Wireshark – программа с развитым графическим интерфейсом для захвата и анализа сетевых данных.
- Snort – система обнаружения сетевых атак.
- The Bro IDS – мониторинг сети.
- URL Snooper – определяет url аудио и видео файлов так, что их можно записать.
Недостатки
WinPcap принимает и отправляет пакеты независимо от хост-протоколов, как TCP-IP. Это значит, что она не в состоянии блокировать, фильтровать или манипулировать трафиком, генерируемым другими программами на этом же ПК. Можно сказать, что WinPcap только “чувствует” пакеты, которые проходят по сетевым проводам. Это значит, что программа не обеспечивает надлежащую поддержку для таких приложений, как:
- шейпинг;
- планировщики QoS;
- брандмауэры.
Где найти учебный материал?
Для того, чтобы начать работу с WinPcap и узнать как пользоваться ею, на официальном сайте представлен учебный материал с открытыми примерами кода, написанными на языке C.
Кроме знания основ C (и понимания работы сетевых протоколов), потребуется знание английского языка.