Xplico. Analizando e interpretando nuestras capturas pcap

De pcastagnaro -

Información extraída de:
http://seguridadyredes.nireblog.com/post/2010/06/11/xplico-analizando-e-interpretando-nuestras-capturas-pcap-algunas-consideraciones

Ya hemos visto como instalar y usar Xplico. En esta ocasión vamos a tratar algunas dudas, como errores de upload en los .pcap, uso de la Geolocalización.....

xplico y google earth geomap en seguridad y redes


Xplico. Upload Failed. 

Ocurre que cuando una determinada captura almacenada en .pcap sobrepasa un tamaño predefinido, al "subir" dicha captura a la sesión en curso, Xplico nos devuelve un error: Upload Failed.


La Solución:

Esto ocurre porque existen dos valores en el archivo php.ini que son:

  • post_max_size
  • upload_max_filesize

Por defecto tiene un valor bajo, sobre 2 M. Lo único que tenemos que hacer es cambiarlos. El archivo se encuentra en:

etc/php5/apache2/php.ini

En mi caso he cambiado a los siguientes valores:

  • post_max_size = 75M
  • upload_max_filesize = 75M


xplico configuracion en seguridad y redes php.ini

Hay que salir de Xplico, reiniciar Apache, volver a iniciar Xplico y cargar la URL http://127.0.1.1:9876.


Uso de Geolocalización. GeoMap.

Ya vimos en (Wireshark. Estadísticas y GeoIP.) nociones sobre Geolocalización a través de Wireshark. Vamos a ver su uso ahora con Xplico.

Cuando, en el menu GeoMap queremos ver la Geolocalización de las IP, sites, etc,  involucrados en la captura, Xplico lo único que hace es crearun archivo .kml, que como todos sabeis es un archivo de Google Earth. Para usar esta característica tan solo habrá que instalar Google Earth y GeoIP, GeoLiteCity.

Para Google  Earth tan solo ir a la pagina correspondiente y bajar e instalar el .bin con sh.

xplico y google earth

Para que GeoIP funcione correctamente, es necesario  seguir escrupulosamente los pasos de instalación. Si es necesario desistalamos Xplico y lo volvemos a instalar siguiendo los pasos de esta forma:

_____________________________________________________

NOTAS IMPORTANTES ANTES DE INSTALAR: La instalación para la versión 0.5.7 de Xplico. Hay que reemplazar 0.5.x por 0.5.7. Cuando aparezca:

cd xplico hay que sustituir por cd xplico-0.5.7

-----------------------------------------------------------------------------

Los pasos:

http://wiki.xplico.org/doku.php?id=tutorial:0.5.6

Una vez terminado e insertado en el navegador la URL http://127.0.1.1:9867 , xplico nos indicará que tenemos que correr un script para activarlo. A partir de ahí podenmos trabajar sin problemas.


GoMap y Google Earth.

Cuando creamos  el fichero .kml en el menú Graphs > GeoMAP, lo descargamos y abrimos con Google Earh y:

xplico y google earth geomap en seguridad y redes

Comentarios

Publicar un comentario

Siéntase libre de dejar su comentario a continuación...

Entradas populares de este blog

Trinity Rescue Kit: Tutorial para eliminar la contraseña de administrador en Windows

De pcastagnaro -
Imagen
Quiero compartir con ustedes una utilidad muy importante, tanto para el escaneo de virus como para la recuperación de datos en una PC. Trinity Rescue Kit (TRK) es una distribución Linux que se ejecuta como un LiveCD (es decir, se bootea desde el arranque de la máquina) para poder escanear y chequear los discos duros desde fuera . Si bien se puede chequear cualquier sistema operativo, su uso está dirigido a aquellos sistemas con Windows que pueden haber sido afectados por un virus o con pérdida de datos. Se basa en un kernel de la distro Mandriva para utilizar los comandos y demás. Para remover los virus, utiliza 4 motores de antivirus muy poderosos: BitDefender Scanner, Grisoft AVG, F-prot y Clamav . Un agregado importante es que si tenés una conexión a internet que utilice DHCP, las bases de los antivirus se actualizarán inmediatamente.
Leer más

Cómo extraer el handshake WPA/WPA2 de archivos de captura grandes

De Unknown -
Imagen
Cuando se posee una captura de tráfico en formato .pcap o .cap con el handshake WPA/WPA2 suele suceder que el mismo posee un tamaño grande o excesivamente grande según el tiempo que se haya tardado en obtener el handshake. Si lo que se desea es un archivo de tráfico con sólamente los paquetes necesarios para hacer el crackeo, a continuación se muestran los pasos que se deberán llevar a cabo para filtrar un archivo de captura mostrando sólo aquellos paquetes necesarios y cómo exportarlo con el fin de obtener un nuevo archivo de captura liviano pero con la información que se desea.
Leer más

15 Editores Hexadecimales para Windows y Linux

De pcastagnaro -
Imagen
Esta es una recopilación con los editores hexadecimales que se han ido mencionando para ver sus características más importantes y resumirlas en esta entrada. Pese a que todos son usados para lo mismo, las diferencias entre muchas de ellas son importantes y dependiendo de la situación y los requisitos es posible que se use más de una. Como siempre, lo mejor es descargar una demo de todas e ir probando sus funcionalidades. Al final cada persona aprecia aspectos distintos.
Leer más