Про Xplico.

Всем привет.

Есть такой парень Xplico - это инструмент анализа сетевой криминалистики (NFAT). Цель Xplico в извлечении из захваченного интернет трафика данных приложения протокола, и он может распознавать протоколы с помощью метода под названием Port Independent Protocol Identification (PIPI).

Например, из файла pcap Xplico извлекает каждый email (протоколы POP, IMAP и SMTP), всё содержимое HTTP, каждый звонок VoIP (SIP), FTP, TFTP и т. д. Xplico не является анализатором сетевого протокола.  Повторюсь, что Xplico - это криминалистический инструмент анализа сети.

Домашняя страница: http://www.xplico.org/. Автор: Gianluca Costa, Andre de Franceschi. Лицензия: GPLv2

Его особенности:

• Поддерживаемые протоколы: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6;
• Независимая идентификация портов протоколов (PIPI) для каждого протокола приложений:
• Многопоточность;
• Выводимые данные и информация в базе данных SQLite или базе данных database и/или файлах:
• Все перекомпонованные в Xplico данные ассоциируются с файлом XML, который однозначно идентифицирует содержимое пересобранных данных потоков и pcap;
• Проработка в реальном времени (зависит от количества потоков, типов протоколов и производительности компьютера — оперативной памяти, процессора, времени доступа к жёсткому диску и т. д.);
• Сборка TCP с верификацией ACK для всех пакетов или программная ACK верификация
• Обратный поиск DNS из содержащих DNS пакетов во входящих файлах (pcap), а не с внешнего DNS сервера;
• Нет ограничения на размер входящих данных или на количество входящих файлов (ограничение только по размеру жёсткого диска);
• Поддержка IPv4 и IPv6;
• Модульность. Каждый компонент Xplico является модулем. Протокол ввода, протокол декодирования (Dissector) и интерфейс вывода (dispatcher) — это всё модули;
• Возможность легко создавать любые типы dispatcher с помощью которых организовывать извлечение данных наиболее подходящим и полезным для вас путём.

Xplico использование:

xplico [-v] [-c <файл_конфигурации>] [-h] [-s] [-g] [-l] [-i <prot>] -m <модуль_захвата></prot>

-v версия

-c файл конфигурации

-h эта помощь

-i информация по протоколу 'prot' 

-g показать дерево-график протоколов

-l напечатать на экране всё содержимое логов

-s печатать каждую секунду статус декодирования

-m тип модуля захвата

Параметры должны следовать в этом порядке!

Обычно xplico установить просто:

sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE

sudo apt-get update

sudo apt-get install xplico

А запустить как процесс еще проще:

service apache2 start

/etc/init.d/xplico start

Следом надо в браузере перейти по адресу: http://localhost:9876

А вот тут могут быть проблемы, я получил самую популярную ошибку "internal error". Если загуглить то обнаружим что это в xplico версия РНР не совпала с требуемой. Времени на сопряжение версий у меня не было, поэтому я решил скачать образ VirtualBox с xplico. Ура, такой существует!

Пользователь: ubuntu

Пароль: reverse

Скачали, развернули, запустили. Входим повторно в веб-интерфейс Xplico:

http://localhost:9876

Пользователи: admin или xplico.

Пароль: xplico.

Кейсы в xplico можно создавать двух типов:

Live - захват пакетов на лету,

Files  - загрузка ранее созданных файлов PCAP-формата.

И далее по меню визуально оцениваете что же вам xplico смог достать из вашего файла.

Хоть специалисты и говорят что после этой программы можно выкинуть большое количество 

снифферов в топку, меня лично он не впечатлил. Чтобы разобраться окончательно в его 

возможностях надо ему скормить хороший кусок траффика. А уже потом делать выводы.

Удачи.