Xplico. Analizando e interpretando nuestras capturas pcap

Información extraída de:
http://seguridadyredes.nireblog.com/post/2010/06/09/xplico-analizando-e-interpretando-nuestras-capturas-pcap

En ocasiones, para interpretar nuestras capturas .pcap realizadas en Tshark, Wireshark, Windump, TCPDump, etc, disponemos de poco tiempo o, simplemente, queremos tener los datos interpretados de una forma sencilla y muy visual. Para ello disponemos de una herramienta de muy facil uso que es Xplico (GNU/GPL). Con Xplico podemos abrir un archivo .pcap o realizar una captura in-situ (live), al momento y después "destripar" y analizar los datos. También es usado para análisis forense.

Trabajando con Xplico en BackTrack 4. Linux.  Seguridad y Redes.  alfon.

Tenemos varias formas de usar Xplico: descargando los paquetes e  instalando en nuestro Linux o , de forma virtual, a través de VirtualBox. Nos centraremos, en nuestro caso, en la primera opción.

Aquí (http://www.xplico.org/status) vemos todos los protocolos y aplicaciones que soporta.

Instalación de Xplico.

Normalmente BackTrack4 tiene mucho de los elementos que nos hace falta para usar Xplico. Si habeis seguiso la serie dedicada a Scapy, también tendreis python, libnet, etc. Por si acaso:

apt-get install tcpdump tshark apache2 php5 php5-sqlite
build-essential perl zlib1g-dev libpcap-dev libsqlite3-dev
php5-cli libapache2-mod-php5 libx11-dev libxt-dev
libxaw7-dev python-all sqlite3 recode sox lame libnet1
libnet1-dev libmysqlclient15-dev

Después: apt-get install xplico

Iniciamos Apache: /etc/init.d/apache2 restart

Yo he seguido lios pasos anteriores y sin problema:


Instalando Xplico en BackTrack 4. Linux

Aún nos falta algún que otro paquete por instalar para disfrutar de todas las funcionalidades de Xplico. Lo veremos más adelante.

De momento es suficiente para empezar.

Trabajando con Xplico.

Para comenzar a usar Xplico tan solo es necesario en un navegador introducir: http://127.0.1.1:9876 e introducimos usuario y contraseña (xplico/xplico) y...:

Trabajando con Xplico en BackTrack 4. Linux.  Seguridad y Redes. alfon.

Tenenemos a la izquierda un pequeño menú de "Cases" y un listado de Cases ya creados y opción para crear un Case o proyecto nuevo.

Los Cases o Proyectos pueden ser:

  • A partir de un fichero .pcap de captura a través de Wireshark, TCPDump, etc
  • Una sesión nueva de captura sniffer (live) a través de una interfaz de red, por ejemplo eth0.

En el listado tenemos un ejemplos de dos Cases o proyectos, uno a través de .pcap y otro en sesión live.

Si pinchamos en uno de ellos: archiv_pcap, tenenmos dos sesiones que corresponden, en nuestro caso para ilustrar el artículo, a dos ficheros .pcap diferentes:

Trabajando con Xplico en BackTrack 4. Linux.  Seguridad y Redes. alfon.

Si pinchamos en uno de ellos (e2):

Trabajando con Xplico en BackTrack 4. Linux.  Seguridad y Redes. alfon.

Se trata de una sesión VoIP SIP. En el menú de la derecha podemos obtener mucha más información. En esta hoja resumen hemos visto que se trata de SIP, así que vamos a la sesión del menú correspondiente a la izquierda (VOIP > SIP) y:

Trabajando con Xplico en BackTrack 4. Linux.  Seguridad y Redes. alfon.

Si pulsamos en duration en el item de abajo (marcado en rojo) obtenemos la información siguiente:

Trabajando con Xplico en BackTrack 4. Linux.  Seguridad y Redes. alfon.

Podemos escuchar el audio de la sesión SIP.

En este caso se trata de una captura solo VOIP. En otro tipo de captura en la que se involucre más protocolos / aplicaciones como mensajería, email, TCP, sesiones telnet, Facebook, HTTP.... podremos obtener información dependiedo de cada porotcolo o aplicación. Este caso también es a partir de un .pcap, pero podríamoshacer lo mismo a partir de una sesión live.

Retrocedamos y abramos la sesión q2. Vemos que se trata de una captura de mail IMAP. La misma que usamos para la serie de capturas IMAP, si vamos a la sesión del menú correspondiente (Mail) veremos.

Trabajando con Xplico en BackTrack 4. Linux.  Seguridad y Redes. alfon.

Si pinchamos en el item del mail,veremos más información.

Aquí estamos tratando ejemplos sencillos, en una captura más alargada en el tiempo y situando Xplico o el sniffer en una buena posición de la red, switch, etc, la informaciuón obtenida y analizada es mayor.

Creando un nuevo proyecto o Case.

Vamos a Case > New Case y elegimos la forma de adquicisión de los datos, es decir:

  • A través de fichero .pcap
  • A través de una sesión live

Elegimos el segundo caso, ponemos nombre al proyecto (Proyecto nuevo) y Create.

En Case List pulsamos en Proyecto nuevo y pulsamos a la derecha New session, ponemos nombre (captura_1) y Create.

Ya hemos creado la sesión y pulsamos sobre la sesión creada.

como hemos indicado que se trata de una sesión live, tenemos que indicar también la interfaz de red en Interface: Choose adaptor. En mi caso sería eth0 y pulsamos en Start...... ya estamos capturando. Cuando terminemos pulsamos Stop.

Podemos ver datos de navegación y si pinchamos em el método (GET), podremos ver mucha más información, ver headers, imagenes capturadas del a sesión HTTP, etc... incluso datos de Geolocalización GeoMap (Wireshark. Estadísticas y GeoIP.).

Si hubiese datos de video, flash, etc, también podríamos analizar los datos y ver el video o flash en cuestión.

Trabajando con Xplico en BackTrack 4. Linux.  Seguridad y Redes. alfon.




Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes

HTTP Fingerprinting