Недавно нарыл вот такую замечательную программку:
http://www.microolap.com/products/network/tcpdump/download/
В отличие от всех других существующих портов TCPDump:
- не требует установки PCap-драйверов в систему или какого-нибудь похожего шлака
- работает в командной строке
- в одном файле
Ловит исключительно всё и вся.
Примеры запуска:
1) Ловить все пакеты целиком независимо от того куда или откуда они идут и выводить на экран:
tcpdump -s 0
2) Ловить первые 2048 байта каждого пакета, который отправляется или приходит с хоста www.google.com по 80 порту (HTTP) и записывать в файл dumpfile.dmp (на экран при этом ничего не выводится):
tcpdump -w dumpfile.dmp -s 2048 host "www.google.ru" and port 80
Замечания:
- в приведённых выше примерах программа ловит пакеты целиком, так что помимо самих данных там будут управляющие заголовки
- чтобы прервать работу программы, как и любого другого консольного приложения, достаточно нажать CTRL+C
- для остальных ключей и более подробной справки смотрим файл tcpdump.htm идущий в комплекте
драйвера удаляются из диспетчера устройств
диспетчер устройств - вид - показать скрытые устройства
затем
в списке "драйвера не plug and play" (точное название не помню, у меня в английской винде "non-plug and play drivers") ищешь те самые 2 драйвера. удаляешь, перезагружаешься, удаляешь файлы.
Нашёл ещё одну похожую тулзу:
http://www.netresec.com/?page=RawCap (http://www.netresec.com/?page=Blog&month=2011-04&post=RawCap-sniffer-for-Windows-released).
Бесплатная, драйверов не ставит.
Но есть несколько жирных минусов:
1) Нужен сраный .NET Framework 2.0.
2) Полноценно работает только под Windows XP.
3) Пишет лог в формате PCAP, так что и смотреть придётся специальной программой (на том же сайте есть одна такая - http://www.netresec.com/?page=CapLoader - правда триальная).