PCAPng-Dateien mit pyshark verarbeiten

Die Capture- und Display-Filter von Wireshark bieten vielfältige Möglichkeiten für die Analyse von Paketmitschnitten. Wer jedoch automatisiert nach bestimmten Mustern oder Inhalten suchen möchte, benötigt ein Tool, das die Dateien skriptbasiert parsen und weiterverarbeiten kann. Einen vielversprechenden Ansatz realisiert das Python-Modul pyshark. Es basiert auf dem Kommandozeilentool tshark. pyshark kann sowohl die von Wireshark erzeugten PCAPng-Dateien als auch Liveaufzeichnungen nutzen. Es erscheint unter der MIT-Lizenz und lag für diesen Artikel in der Version 0.4.3 vor. Es eignet sich offiziell für Linux und Windows, funktionierte in unseren Tests aber auch unter macOS.

Es gibt unterschiedliche Methoden, pyshark zu installieren. Die Quellen der Linux-Distribution zu nutzen, ist bequem, führt jedoch häufig nicht zur aktuellen Version. So gab es in unseren Tests auf Ubuntu Server 20.04 Schwierigkeiten bei Liveaufzeichnungen, die in neueren Versionen auf GitHub bereits behoben waren. Eine aktuelle Version liefert der Python-Paketmanager mittels pip install pyshark. Ein aktuelles pyshark setzt Python ab Version 3.5 voraus. Wer noch Python 2 nutzen möchte, muss auf die Version 0.3.8 zurückgreifen, im Paketindex PyPi unter dem Namen pyshark-legacy zu finden. pyshark kann man auch direkt aus den Quellen des GitHub-Repositorys installieren.