Wie Sie Netzwerkmitschnitte mit Python und Scapy auswerten
Um den Datenverkehr im Netzwerk auszuwerten, können Sie ein Python-Skript nutzen und sich die Informationen auswerten und anzeigen lassen, die Sie benötigen.
- Ronald Eikenberg
- Jana Eisoldt
Datenverkehr von Netzwerkgeräten wertet man traditionell in Handarbeit aus. Üblicherweise nutzt man dafür Analyse-Tools wie das mächtige Wireshark, das sehr viele Protokolle dekodiert, filtert und auswertet. Auch in der c’t-Redaktion ist Wireshark seit Urzeiten im Einsatz, etwa wenn es darum geht, den Datenverkehr von Apps unter die Lupe zu nehmen. So klären wir unter anderem, welche Server mittels welcher Protokolle kontaktiert werden und ob vertrauliche Daten im Klartext durch die Leitung gehen.
Das ist häufig Fleißarbeit, denn wenn wir uns für einen c’t-Artikel zum Beispiel 10 oder 20 Apps ansehen, wartet danach ein Vielfaches an Paketmitschnitten auf die Auswertung. In solchen Fällen greifen wir gern zu Analyse-Skripten, die wir speziell für die gerade gefragten Auswertungen entwickeln. Denn wenn wir die Routineaufgaben, die wir bei jedem einzelnen Mitschnitt von Hand ausführen, einem Skript beibringen, bleibt mehr Zeit, um Besonderheiten nachzugehen. Mit diesem Artikel möchten wir Ihnen zeigen, wie auch Sie eigene Analyse-Skripte bauen, die Ihnen genau die Informationen liefern, die Sie gerade benötigen.
Dreh- und Angelpunkt ist das Open-Source-Tool Scapy, das in Python programmiert ist. Scapy ist ein Schweizer Taschenmesser für die Arbeit mit Netzwerkpaketen: Sie können damit Paketmitschnitte öffnen, live Traffic aufzeichnen und sogar Pakete von Hand zusammenbauen, manipulieren und verschicken. Es eignet sich für etliche Protokolle, neben TCP/IP zum Beispiel auch für ZigBee oder Bluetooth. Wenn Sie die grundlegende Funktionsweise kennen, ist der Weg zum individuellen Analyse- oder Hacking-Tool nicht mehr weit. Scapy fühlt sich unter Linux, macOS und Windows wohl.
Das war die Leseprobe unseres heise-Plus-Artikels "Wie Sie Netzwerkmitschnitte mit Python und Scapy auswerten". Mit einem heise-Plus-Abo können sie den ganzen Artikel lesen und anhören.