Xplico

Разработчик(и)	Джанлука Коста и Андреа де Франчески
Стабильная версия	1.2.2 / 2 мая 2019 г .; 5 лет назад
Написано в	С , PHP , Питон
Операционная система	Линукс
Тип	Сетевая криминалистика
Лицензия	Стандартная общественная лицензия GNU
Веб-сайт	www .xplico .org

Xplico — это инструмент сетевого криминалистического анализа (NFAT), который представляет собой программное обеспечение, которое восстанавливает содержимое собранных данных, выполненных с помощью анализатора пакетов (например, Wireshark , tcpdump , Netsniff-ng ).

В отличие от анализатора протоколов , основной характеристикой которого не является реконструкция данных, выполняемая протоколами, Xplico был создан специально с целью восстановления данных приложения протокола и способен распознавать протоколы с помощью метода под названием Port Independent Protocol Identification. (ПИПИ). ^{[ 2 ]}

Название «xplico» относится к латинскому глаголу explico и его значению.

Xplico — это бесплатное программное обеспечение с открытым исходным кодом , на которое распространяются требования Стандартной общественной лицензии GNU (GPL) версии 2. ^{[ 3 ]}

Обзор

Используя необработанные данные из Ethernet или PPP веб-навигации ( протокол HTTP ), Xplico извлекает данные приложения и восстанавливает содержимое пакета. В случае протокола HTTP: будут извлечены изображения, файлы или файлы cookie. Аналогичным образом Xplico может восстанавливать электронную почту, которой обмениваются протоколы IMAP , POP и SMTP .

Среди протоколов, которые Xplico идентифицирует и восстанавливает, есть VoIP , MSN , IRC , HTTP, IMAP, POP, SMTP и FTP .

Функции

Архитектура программного обеспечения

Архитектура программного обеспечения Xplico обеспечивает:

модуль ввода для обработки ввода данных (от зондов или анализатора пакетов)
модуль вывода для организации декодированных данных и представления их конечному пользователю; и
набор модулей декодирования , называемый диссектором протокола , для декодирования отдельного сетевого протокола.

Благодаря модулю вывода Xplico может иметь различные пользовательские интерфейсы, фактически его можно использовать из командной строки и из пользовательского веб-интерфейса, называемого «Интерфейс Xplico». Диссектор протокола — это модули для декодирования отдельного протокола, каждый диссектор протокола может реконструировать и извлекать данные протокола.

Все модули являются подключаемыми и через файл конфигурации их можно загружать или нет во время выполнения программы. Это позволяет сосредоточить декодирование, то есть, если вы хотите декодировать только вызовы VoIP , но не веб-трафик, вы настраиваете Xplico для загрузки только модулей RTP и SIP , исключая модуль HTTP. ^{[ 4 ]}

Крупномасштабный анализ данных PCAP

Еще одной особенностью Xplico является его способность обрабатывать (реконструировать) огромные объемы данных: он способен управлять файлами pcap размером в несколько гигабайт и даже терабайт от нескольких зондов захвата одновременно. Это происходит благодаря использованию различных типов «модулей ввода». Файлы pcap можно загружать разными способами: непосредственно из пользовательского веб-интерфейса Xplico, по SFTP или по каналу передачи, называемому PCAP-over-IP .

Благодаря этим функциям Xplico используется в контексте законного перехвата. ^{[ 5 ]}^{[ 6 ]} и в сетевой криминалистике . ^{[ 7 ]}

VoIP-звонки

Xplico, а также его конкретная версия под названием pcap2wav способны декодировать вызовы VoIP на основе протокола RTP ( SIP , H323 , MGCP , SKINNY ) и поддерживают декодирование аудиокодеков G711ulaw , G711alaw , G722 , G729 , G723 , G726 и MSRTA ( Звук в реальном времени от Microsoft). ^{[ 8 ]}

Основные команды, работающие из командной строки

В этих примерах предполагается, что eth0 — используемый сетевой интерфейс.

Сбор и декодирование в реальном времени:

xplico -m rltm -i eth0

декодирование одного файла pcap:

xplico -m pcap -f example.pcap

декодирование каталога, содержащего множество файлов pcap

xplico -m pcap -d /path/dir/

во всех случаях декодированные данные хранятся в каталоге с именем xdecode . С помощью параметра -m мы можем выбрать тип « входной модуль ». Модуль ввода с именем rltm получает данные непосредственно из сетевого интерфейса, и наоборот, модуль ввода с именем pcap получает данные из файлов или каталога pcap.

Распределения

Xplico устанавливается по умолчанию в основных дистрибутивах цифровой криминалистики и тестирования на проникновение :

Кали Линукс , ^{[ 9 ]}
БэкТрек , ^{[ 10 ]}
Ловкий, ^{[ 11 ]}
Лук безопасности
матрица
Бэкбокс
Репозиторий CERT Linux Forensics Tools. ^{[ 12 ]}

См. также

Сравнение анализаторов пакетов
tcpdump — анализатор пакетов
pcap — интерфейс прикладного программирования (API) для захвата сетевого трафика.
snoop — командной строки анализатор пакетов , входящий в состав Solaris
Wireshark — анализатор сетевых пакетов
dsniff — анализатор пакетов и набор инструментов анализа трафика.
netsniff-ng — бесплатный сетевой инструментарий для Linux.
ngrep , инструмент, который может сопоставлять регулярные выражения в полезной нагрузке сетевых пакетов.
etherape , инструмент сетевого картографирования, основанный на перехвате трафика.
tcptrace — инструмент для анализа журналов, созданных tcpdump.

Ссылки

^ «Xplico – Xplico 1.2.2» .
^ «Журнал МАСО» (PDF) . Проверено 1 июня 2012 г.
^ «Лицензия Xplico» .
^ Габриэле Фаджиоли, Андреа Гирардини (2009). Компьютерная криминалистика . Италия: Апогео. стр. 5, 227, 278, 369–370. ISBN 978-88-503-2816-1 .
^ «Об обнаружении криминальных угроз в Интернете (Европейский проект FP7-SEC INDECT)» (PDF) . Проверено 9 мая 2017 г.
^ Гасимартин Гарсия, Карлос (январь 2009 г.). «Система перехвата и анализа коммуникаций) |» .
^ Кэмерон Х. Малин, Эоган Кейси, бакалавр искусств, магистр искусств (2012). Полевое руководство по криминалистике вредоносных программ для систем Windows: Полевые руководства по цифровой криминалистике . ISBN 978-1597494724 .
^ pcap2wav Интерфейс Xplico http://www.xplico.org/archives/1287
^ Kali, Xplico в упаковке .
^ «Назад 5» .
^ «Проекты DEFT Linux» . Архивировано из оригинала 18 июня 2012 года.
^ «Репозиторий инструментов криминалистики Linux» .

Внешние ссылки

Официальный сайт
Демо-облако Xplico
Демонстрационное облако PCAP2WAV и RTP2WAV

[1] «Xplico – Xplico 1.2.2» .

[2] «Журнал МАСО» (PDF) . Проверено 1 июня 2012 г.

[3] «Лицензия Xplico» .

[4] Габриэле Фаджиоли, Андреа Гирардини (2009). Компьютерная криминалистика . Италия: Апогео. стр. 5, 227, 278, 369–370. ISBN 978-88-503-2816-1 .

[5] «Об обнаружении криминальных угроз в Интернете (Европейский проект FP7-SEC INDECT)» (PDF) . Проверено 9 мая 2017 г.

[6] Гасимартин Гарсия, Карлос (январь 2009 г.). «Система перехвата и анализа коммуникаций) |» .

[7] Кэмерон Х. Малин, Эоган Кейси, бакалавр искусств, магистр искусств (2012). Полевое руководство по криминалистике вредоносных программ для систем Windows: Полевые руководства по цифровой криминалистике . ISBN 978-1597494724 .

[8] 2wav Интерфейс Xplico http://www.xplico.org/archives/1287

[9] Kali, Xplico в упаковке .

[10] «Назад 5» .

[11] «Проекты DEFT Linux» . Архивировано из оригинала 18 июня 2012 года.

[12] «Репозиторий инструментов криминалистики Linux» .

[ 1 ]

[ 2 ]

[ 3 ]

[ 4 ]

[ 5 ]

[ 6 ]

[ 7 ]

[ 8 ]

[ 9 ]

[ 10 ]

[ 11 ]

[ 12 ]