5/24/2018 Xplico y Kali Linux PAMC

1/9

ALUMNO: PERCY ANGEL MAMANI CORNEJO

CODIGO: 0620063

5/24/2018 Xplico y Kali Linux PAMC

2/9

ANALIZAR EL TRFICO CAPTURADOXPLICO

XPLICO es mucho ms flexible ya que nos permite analizar trama a trama todo el time line del

trfico y nos ofrece una infinidad de opciones y filtros muy potentes; pero a no ser que tengamos

una gran destreza usndolos se convierte en un handicap (que muchos intentamos solucionar

buscando por google.com) ms que en una ayuda.

ESQUEMA DE UN ANALISIS DETRAFICO EN UNA RED

XPLICO:

El objetivode Xplico es el anlisis de una captura de trfico de Internet los datos de aplicaciones

en l contenidos.

Por ejemplo, a partir de un archivo pcap Xplico extrae cada correo electrnico (POP, IMAP y

SMTP), todo el contenido HTTP, cada llamada VoIP (SIP), FTP, TFTP, y as sucesivamente. Xplico no

es un analizador de protocolos de red. Xplico es un anlisis forense de red fuente herramienta

abierta (NFAT).

Xplico se distribuye bajo la Licencia Pblica General de GNU, y con algunas secuencias decomandos bajo Creative Commons Reconocimiento-No comercial-Compartir Igual 3.0 (CC BY-NC-

SA 3.0) Licencia. Para ms detalles vea la licencia.

Sistema Xplico se compone de 4 macro-componentes:

5/24/2018 Xplico y Kali Linux PAMC

3/9

un Gestor Decoder llama DeMa

un decodificador IP llamado Xplico (su estado es aqu) un conjunto de manipuladores de datos un sistema de visualizacin para ver los datos extrados

Lenguajes usadas en el Sistema Xplico

C Pitn PHP JavaScript

LICENCIA

Xplico como decodificador IP est licenciado bajo la Licencia Pblica General de GNU (vase la

licencia para ms detalles).

DeMa est licenciado bajo la Licencia Pblica General de GNU (vase la licencia para ms detalles).

Los manipuladores msite, mpaltalk, mfbc, MFILE y mwmail estn licenciados bajo la Licencia

Pblica General de GNU (vase la licencia para ms detalles).

mimedump.pyc, session_mng.pyc, wbm_aol_v2.pyc, wbm_gmail.pyc, wbm_yahoo_android.pyc ywbm_yahoo_v2.pyc estn licenciados bajo la licencia Creative Commons: CC BY-NC-SA 3.0 (ver

Licencia para ms detalles).

Xplico Interface (XI) es bajo licencia de tri-licencia disyuntiva que le da la eleccin de uno de los

tres siguientes conjuntos de trminos de licencia de software / cdigo abierto gratuitos:

Mozilla Public License, versin 1.1 o posterior Licencia pblica GNU, versin 2.0 o posterior GNU Lesser General Public License, versin 2.1 o posterior

REQUISITOS PARA INA INSTALACION DE LA HERRAMIENTA:

Xplico version

Fedora 19, 18, 17, 16, 15, 14, 13:

Download RPMshere.

Ubuntu 32/64bit from 13.10 to 11.04:

sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'

sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CEsudo apt-get update

sudo apt-get install xplico

http://www.cert.org/forensics/tools/#fedorasupporthttp://www.cert.org/forensics/tools/#fedorasupporthttp://www.cert.org/forensics/tools/#fedorasupporthttp://www.cert.org/forensics/tools/#fedorasupport

5/24/2018 Xplico y Kali Linux PAMC

4/9

Virtual

Box Image:

Download OVAhere.

Based on Free VirtualBox Image.

user: ubuntu

password: reverseSource code:

Downloadhere.

Installation instructions are in the INSTALL file and in theWiki.

Ubuntu 12.10 32bit:

Downloadhere.

Ubuntu Server 12.10 64bit:

Downloadhere.

Deafult Users

user: admin, xplico

password: xplico, xplico

TIPO DE CAPTURA

Para hacer la prueba he usado una captura de trfico en vivo, esto es, he arrancado Xplico y he

capturado en tiempo real el interfaz de red que tiene conexin a internet. En el mismo porttil

donde corra Xplico me he puesto a navegar y a logearme en distintas webs para generar trfico y

cuando he tenido una pequea muestra representativa he parado la captura.

Xplico es capaz de capturar en tiempo real el trfico, o por el contrario procesar una captura en

formato .pcap.

https://sourceforge.net/projects/xplico/files/VirtualBox%20images/https://sourceforge.net/projects/xplico/files/VirtualBox%20images/https://sourceforge.net/projects/xplico/files/VirtualBox%20images/http://virtualboxes.org/images/ubuntu-server/http://virtualboxes.org/images/ubuntu-server/http://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://wiki.xplico.org/http://wiki.xplico.org/http://wiki.xplico.org/http://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://wiki.xplico.org/http://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://virtualboxes.org/images/ubuntu-server/https://sourceforge.net/projects/xplico/files/VirtualBox%20images/

5/24/2018 Xplico y Kali Linux PAMC

5/9

INSTALAR XPLICO

Xplico se puede instalar en diversas maquinas GNU/Linux. Durante las pruebas he probado a

instalarlo tanto en una Mquina Virtual con Ubuntu 13.04 32-bits como enKali Linux,siendo eneste ltimo donde me ha acabado funcionado (en Kali me ha funcionado en el momento

inmediato de instalarlo, luego he reiniciado y para que volviera a funcionar lo he tenido que

reinstalar xD).

Kali Linux

Como no me ha terminado de funcionar en Ubuntu he decidido instalarlo en Kali mediante los

siguinetes comandos:

Comandos opcionales; para asegurarnos que las dependencias estn instaladas

1apt-get install tcpdump tshark apache2 php5 php5-sqlite build-essential perl zlib1g-dev libpcap-dev libsqlite3-dev

php5-cli libapache2-mod-php5 libx11-dev libxt-dev libxaw7-dev python-all sqlite3 recode sox lame libnet1 libnet1-

dev libmysqlclient15-dev

Comandos para instalar en Kali Linux

1

2

3

apt-get install xplico

/etc/init.d/apache2 restart

/etc/init.d/xplico start

ANALIZANDO EL TRFICO

Arrancando la herramienta

Accedemos a la herramienta tenemos que irnos al navegador y escribir: 127.0.1.1:9876 (IP

127.0.1.1 con puerto 9876).

Nos aparecer una pgina de login en la que tendremos que ingresar con las credenciales:

http://www.ubuntu.com/download/desktop/thank-you?distro=desktop&bits=32&release=latesthttp://www.kali.org/downloads/http://www.kali.org/downloads/http://www.ubuntu.com/download/desktop/thank-you?distro=desktop&bits=32&release=latest

5/24/2018 Xplico y Kali Linux PAMC

6/9

Usuario: xplico

Password: xplico

Despus de loguearnos nos aparecer una Panel con los Casos existentes.

Cada Casose puede entender como un proyecto diferente. Un ejemplo sera englobar todas lascapturas wifi que hagamos en una tarde en el mismo Caso ya que todas han sido capturadas en el

5/24/2018 Xplico y Kali Linux PAMC

7/9

mism

o espacio de tiempo (y posiblemente tenga relaccin unas con otras).

Dentro de un caso hay diferentes Sesiones,por lo que cada Sesiones una subdivisin de un Caso.Si volvemos al ejemplo anterior en el que todas las capturas de una tarde han sido englobadas

en un Caso; cada una de las pequeas capturas que conforman la tarde entera, ser una sesin.

Cuando creemos un caso nos dar a elegir entre obtener los datos por captura en vivo

(Adquisicin de vivir; la traduccin es muy mala xD) o por el contrario, analizar los datos

mediante un fichero .pcap que le demos.

5/24/2018 Xplico y Kali Linux PAMC

8/9

ANALIZANDO

Una vez recogido y procesado cierto trfico la herramienta nos ofrecer bastantes formas de

visualizacin de la informacin.

En la Pestaa Web -> Site podemos ver todos los componentes que conforman la web ordenados

por formatos.

5/24/2018 Xplico y Kali Linux PAMC

9/9

Dentr

o de la Pestaa WEB -> Images podemos ver todas las imgenes descargadas, no solo con susnombres, sino en formato imgen. Este apartado es muy interesante porque de un vistazo nos

podemos hacer una idea de por donde ha estado navegando el usuario.

En la Pestaa MAIL se mostrar informacin sobre emails enviados o recibidos as como dewebmail. Sin embargo, como la mayora de webmails en la actualidad tienen https, una capa de

cifrado que impide el anlisis de trfico por este mtodo, es muy probable que no captemos nada

en esta seccin.

En las siguientes Pestaas podemos encontrar un poco de todo; Voip, diferentes protocolos de

chat, conexiones ftp, Sin embargo vuelvo a remarcar el tema del cifrado; la mayora de los

servicios que disfrutamos de mensajera, Voip, etc suelen llevar una capa cifrada que impide el

anlisis del trfico de este tipo.

En la ltima Pestaa UNDECODED -> TCP-UDP se expone las tramas que no han sido posibledeterminar que son. La mayora de ellas corresponden a trfico del puerto 443 (HTTPS) que como

antes he comentado, no podemos analizar.

XPLCO 2014