Xplico

Описание Xplico

Цель Xplico — это извлечь из захваченного интернет трафика содержищиеся данные приложений. Например, из файла pcap Xplico извлекает каждый email (протоколы POP, IMAP и SMTP), всё содержимое HTTP, каждый звонок VoIP (SIP), FTP, TFTP и т. д. Xplico не является анализатором сетевого протокола. Xplico — это криминалистический инструмент анализа сети — Network Forensic Analysis Tool (NFAT).

Особенности

  • Поддерживаемые протоколы: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6, …;
  • Независимая идентификация портов протоколов (PIPI) для каждого протокола приложений:
  • Многопоточность;
  • Выводимые данные и информация в базе данных SQLite или базе данных database и/или файлах:
  • Все перекомпонованные в Xplico данные ассоциируются с файлом XML, который однозначно идентифицирует содержимое пересобранных данных потоков и pcap;
  • Проработка в реальном времени (зависит от количества потоков, типов протоколов и производительности компьютера — оперативной памяти, процессора, времени доступа к жёсткому диску и т. д.);
  • Сборка TCP с верификацией ACK для всех пакетов или программная ACK верификация
  • Обратный поиск DNS из содержащих DNS пакетов во входящих файлах (pcap), а не с внешнего DNS сервера;
  • Нет ограничения на размер входящих данных или на количество входящих файлов (ограничение только по размеру жёсткого диска);
  • Поддержка IPv4 и IPv6;
  • Модульность. Каждый компонент Xplico является модулем. Протокол ввода, протокол декодирования (Dissector) и интерфейс вывода (dispatcher) — это всё модули;
  • Возможность легко создавать любые типы dispatcher с помощью которых организовывать извлечение данных наиболее подходящим и полезным для вас путём;

Домашняя страница: http://www.xplico.org/

Автор: Gianluca Costa, Andre de Franceschi

Лицензия: GPLv2

Справка по Xplico

использование:

xplico [-v] [-c <файл_конфигурации>] [-h] [-s] [-g] [-l] [-i ] -m <модуль_захвата>
	-v версия
	-c файл конфигурации
	-h эта помощь
	-i информация по протоколу 'prot' 
	-g показать дерево-график протоколов
	-l напечатать на экране всё содержимое логов
	-s печатать каждую секунду статус декодирования
	-m тип модуля захвата
	ПРИМЕЧАНИЕ: параметры ДОЛЖНЫ следовать в этом порядке! 

Руководство по Xplico

Страница man отсутствует.

Примеры запуска Xplico

Использовать модуль rltm (-m rltm) и анализировать трафик на интерфейсе eth0 (-i eth0):

root@HackWare:~# xplico -m rltm -i eth0
xplico v1.1.1
Internet Traffic Decoder (NFAT).
See http://www.xplico.org for more information.

Copyright 2007-2014 Gianluca Costa & Andrea de Franceschi and contributors.
This is free software; see the source for copying conditions. There is NO
warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.

This product includes GeoLite data created by MaxMind, available from http://www.maxmind.com/.
Limits changed
Configuration file (/opt/xplico/cfg/xplico_cli.cfg) found!
GeoIP Database found!

Установка Xplico

Установка в Kali Linux

apt-get install xplico

Установка в Ubuntu 32/64bit от 11.04 до 15.10

sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico

Или скачайте бинарник здесь: http://sourceforge.net/projects/xplico/files/Xplico%20versions/

Установка в Mint, Debian, Ubuntu 12.10 32bit, Ubuntu Server 12.10 64bit

Скачайте бинарник здесь: http://sourceforge.net/projects/xplico/files/Xplico%20versions/

Установка в Fedora 19, 18, 17, 16, 15, 14, 13

Скачайте пакеты RPM здесь: https://forensics.cert.org/

Образ VirtualBox

Скачайте OVA здесь.

Основан на бесплатном образе VirtualBox.

  • пользователь: ubuntu
  • пароль: reverse

Установка из исходных кодов

1. Установите приложение recode

2. Если вы хотите собрать Xplico, убедитесь, что у вас есть установленная libpcap. Последняя «официальная» версия может быть найдена на http://www.tcpdump.org.

3. Если вы хотите собрать Xplico, убедитесь, что у вас есть установленная libsqlite версии 2. Последняя «официальная» версия может быть найдена на http://www.sqlite.org.

4. Если вы хотите декодировать VoIP с Xplico, убедитесь, что у вас установлены sox и lame. Последние «официальные» версии могут быть найдены на

http://sox.sourceforge.net/
http://lame.sourceforge.net/

5. Скомпилируйте библиотеку nDPI. Из ТОЙ же директории, где вы распаковали xplico:

svn co https://svn.ntop.org/svn/ntop/trunk/nDPI
cd nDPI
./configure
make

6. Запустите 'make' в директории распространения Xplico. Надеюсь, у вас не возникнет каких-либо проблем.

7. После запуска 'make', вы увидите бинарники и директории модулей xplico.

8. Если вы хотите декодировать связанные с принтером задачи, убедитесь, что у вас есть Ghostpcl. Последняя «официальная» версия может быть найдена на http://www.ghostscript.com/awki/Ghostpcl .

Скопируйте "pcl6" в домашнюю директорию Xplico (в ту же директорию где и бинарник xplico).

9. Если вы хоитете декодировать аудио кодеки RTP, SIP, MEGACO, H323, MGCP… VoIP убедитесь, что у вас есть скомпилированный videosnarf-0.62, который пропатчен с помощью videosnarf_xplico.patch ( http://projects.xplico.org/patch/videosnarf_xplico.patch.gz ).

Скопируйте "videosnarf" в домашнюю директорию Xplico (та же директория, где и бинарник xplico).

10. Запустите './xplico' и убедитесь, что всё работает. У вас должны быть привилегии рута, чтобы захватывать live данные.

11. Если у вас Xplico в консольном режиме, что смотрите README для его использования.

12. Если вы используете Xplico GUI, то для него нужны Apache, PHP и Perl. Если вы используете Xplico в консольном режиме, то это программное обеспечение не требуется и вы можете пропустить этот пункт и последующие.

13. Запустите 'make install'. Измените разрешения директорий /opt/xplico, /opt/xplico/cfg и /opt/xplico/xi для разрешения пользователю Apache (PHP программа) создавать поддиректории внутри /opt/xplico. Также измените разрешения на все файлы в /opt/xplico/cfg, дайте Apache права чтения и записи.

14. С разрешениями рута запустите:

/opt/xplico/script/sqlite_demo.sh

15. Для настройки Apache вы можете использовать (например) конфигурационный файл: /opt/xplico/cfg/apache_xi

16. Включите прокси в Firefox. IP прокси — это IP машины где у вас установлена Xplico и порт 80 (порт Apache).

17. URL для просмотра интерфейса Xplico: http://IP

Если вы используете имя машины, а не IP, то есть вероятность, что вы не войдёте в веб-интерфейс.

18. А теперь: Наслажайтесь.

Проблема с версией Xplico 1.1.1

При любых попытках запуска Xplico 1.1.1 появляется ошибка:

Manipulator webymsg error
Dispatch to manipulator initialization error

Решение проблемы 1

Установить предыдущую версию — Xplico 1.1.0.

Решение проблемы 2

В файле /opt/xplico/cfg/xplico_cli.cfg найти и закомментировать строчку

MANIP=webymsg MPBIN=/opt/xplico/bin/mwebymsg

Вход в веб-интерфейс Xplico

Запустите процесс

service apache2 start
/etc/init.d/xplico start

В браузере перейдите по адресу: http://localhost:9876

Пользователи Xplico по умолчанию

  • пользователь: admin, xplico
  • пароль: xplico, xplico

Скриншоты Xplico

VoIP: SIP и RTP (без протокола обмена сигналами).

rtp

Dns графики.

xi_dns_1

xi_dns_2

Страницы входа, и страница списка задач.

xwi_login

xwi_case_list

Страница сессий.

xwi_session_list

xwi_session_stat

Email страницы.

xwi_emails_list

xwi_email

Веб страницы.

xwi_http_list

xwi_http_method

Страницы видео и изображений.

xwi_http_video

xwi_images

Ftp страницы.

xwi_ftp_list

xwi_ftp_file

MMS страницы.

xwi_mms_list

xwi_mms

GeoMap страница.

xwi_geomap               

Инструкции по Xplico

Ссылки на инструкции будут добавлены позже.

Рекомендуемые статьи: