А АFriday, 1 July 2022

Про Xplico.

Всем привет.

Есть такой парень Xplico - это инструмент анализа сетевой криминалистики (NFAT). Цель Xplico в извлечении из захваченного интернет трафика данных приложения протокола, и он может распознавать протоколы с помощью метода под названием Port Independent Protocol Identification (PIPI).

Например, из файла pcap Xplico извлекает каждый email (протоколы POP, IMAP и SMTP), всё содержимое HTTP, каждый звонок VoIP (SIP), FTP, TFTP и т. д. Xplico не является анализатором сетевого протокола.  Повторюсь, что Xplico - это криминалистический инструмент анализа сети.

Домашняя страница: http://www.xplico.org/. Автор: Gianluca Costa, Andre de Franceschi. Лицензия: GPLv2

Его особенности:

  • Поддерживаемые протоколы: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6;
  • Независимая идентификация портов протоколов (PIPI) для каждого протокола приложений:
  • Многопоточность;
  • Выводимые данные и информация в базе данных SQLite или базе данных database и/или файлах:
  • Все перекомпонованные в Xplico данные ассоциируются с файлом XML, который однозначно идентифицирует содержимое пересобранных данных потоков и pcap;
  • Проработка в реальном времени (зависит от количества потоков, типов протоколов и производительности компьютера — оперативной памяти, процессора, времени доступа к жёсткому диску и т. д.);
  • Сборка TCP с верификацией ACK для всех пакетов или программная ACK верификация
  • Обратный поиск DNS из содержащих DNS пакетов во входящих файлах (pcap), а не с внешнего DNS сервера;
  • Нет ограничения на размер входящих данных или на количество входящих файлов (ограничение только по размеру жёсткого диска);
  • Поддержка IPv4 и IPv6;
  • Модульность. Каждый компонент Xplico является модулем. Протокол ввода, протокол декодирования (Dissector) и интерфейс вывода (dispatcher) — это всё модули;
  • Возможность легко создавать любые типы dispatcher с помощью которых организовывать извлечение данных наиболее подходящим и полезным для вас путём.

Xplico использование:

xplico [-v] [-c <файл_конфигурации>] [-h] [-s] [-g] [-l] [-i <prot>] -m <модуль_захвата></prot>

-v версия

-c файл конфигурации

-h эта помощь

-i информация по протоколу 'prot' 

-g показать дерево-график протоколов

-l напечатать на экране всё содержимое логов

-s печатать каждую секунду статус декодирования

-m тип модуля захвата

Параметры должны следовать в этом порядке!


Обычно xplico установить просто:

sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE

sudo apt-get update

sudo apt-get install xplico


А запустить как процесс еще проще:

service apache2 start

/etc/init.d/xplico start


Следом надо в браузере перейти по адресу: http://localhost:9876

А вот тут могут быть проблемы, я получил самую популярную ошибку "internal error". Если загуглить то обнаружим что это в xplico версия РНР не совпала с требуемой. Времени на сопряжение версий у меня не было, поэтому я решил скачать образ VirtualBox с xplico. Ура, такой существует!

Пользователь: ubuntu

Пароль: reverse

Скачали, развернули, запустили. Входим повторно в веб-интерфейс Xplico:

http://localhost:9876

Пользователи: admin или xplico.

Пароль: xplico.


Кейсы в xplico можно создавать двух типов:

Live - захват пакетов на лету,

Files  - загрузка ранее созданных файлов PCAP-формата.

И далее по меню визуально оцениваете что же вам xplico смог достать из вашего файла.

Хоть специалисты и говорят что после этой программы можно выкинуть большое количество 

снифферов в топку, меня лично он не впечатлил. Чтобы разобраться окончательно в его 

возможностях надо ему скормить хороший кусок траффика. А уже потом делать выводы.

Удачи.

No comments:

Post a Comment

А что вы думаете по этому поводу?

Версия на печать

Популярное