Inhaltsverzeichnis Wie Sie Netzwerkmitschnitte mit Python und Scapy auswerten Kleine Paketkunde Loslegen mit Scapy Scapy-Shell starten Pakete auspacken Daten auslesen Skript erstellen IPv6, Skript ausbauen und Dateninterpretation Fazit Exkurs: Grundgerüst für Analyse-Skripte Artikel in c't 15/2022 lesen

Datenverkehr von Netzwerkgeräten wertet man traditionell in Handarbeit aus. Üblicherweise nutzt man dafür Analyse-Tools wie das mächtige Wireshark, das sehr viele Protokolle dekodiert, filtert und auswertet. Auch in der c’t-Redaktion ist Wireshark seit Urzeiten im Einsatz, etwa wenn es darum geht, den Datenverkehr von Apps unter die Lupe zu nehmen. So klären wir unter anderem, welche Server mittels welcher Protokolle kontaktiert werden und ob vertrauliche Daten im Klartext durch die Leitung gehen.

Das ist häufig Fleißarbeit, denn wenn wir uns für einen c’t-Artikel zum Beispiel 10 oder 20 Apps ansehen, wartet danach ein Vielfaches an Paketmitschnitten auf die Auswertung. In solchen Fällen greifen wir gern zu Analyse-Skripten, die wir speziell für die gerade gefragten Auswertungen entwickeln. Denn wenn wir die Routineaufgaben, die wir bei jedem einzelnen Mitschnitt von Hand ausführen, einem Skript beibringen, bleibt mehr Zeit, um Besonderheiten nachzugehen. Mit diesem Artikel möchten wir Ihnen zeigen, wie auch Sie eigene Analyse-Skripte bauen, die Ihnen genau die Informationen liefern, die Sie gerade benötigen.

Dreh- und Angelpunkt ist das Open-Source-Tool Scapy, das in Python programmiert ist. Scapy ist ein Schweizer Taschenmesser für die Arbeit mit Netzwerkpaketen: Sie können damit Paketmitschnitte öffnen, live Traffic aufzeichnen und sogar Pakete von Hand zusammenbauen, manipulieren und verschicken. Es eignet sich für etliche Protokolle, neben TCP/IP zum Beispiel auch für ZigBee oder Bluetooth. Wenn Sie die grundlegende Funktionsweise kennen, ist der Weg zum individuellen Analyse- oder Hacking-Tool nicht mehr weit. Scapy fühlt sich unter Linux, macOS und Windows wohl.