Revisando los proyectos aceptados en el Google Code Summer of Code 2012 nos hemos encontrado con un proyecto que pretende ampliar las capacidades de análisis de red de Cuckoo Sandbox. Para ello el estudiante Abdulellah Alsaheel ha creado un roadmap muy interesante, sobre todo de cara a ampliar las capacidades de Scapy (Framework elegido para realizar la disección del tráfico).

¿Porqué Scapy? En las primeras fases del proyecto el autor hace una comparativa entre Scapy, Pcapy-Impacket, dpkt. El resultado de la comparativa es, en primera instancia un listado de capacidades de las tres soluciones y además cuatro conclusiones:

  • Scapy tiene la mejor documentación.
  • Un código robusto.
  • Soporta una cantidad alta de protocolos.
  • Scapy además incluye una gran variedad de funcionalidades adicionales para la gestión de tráfico de red.

El proyecto contempla varias fases. A nosotros nos ha llamado la atención la que se centra en la creación de varios “dissectors” para algunos protocolos que Scapy actualmente no soporta, como por ejemplo SIP o HTTP. El listado de protocolos implementados, por ahora, es:

Las librerías están disponibles en https://github.com/cssaheel/dissectors. El proyecto tiene como fecha de finalización y publicación del código completo Agosto de 2012, pero por ahora podemos ir disfrutando de estas librerías.

[*] http://www.honeynet.org/gsoc/slot3
[*] http://www.secdev.org/projects/scapy/
[*] http://www.google-melange.com/gsoc/homepage/google/gsoc2012