Upload
percyangel84
View
246
Download
0
Embed Size (px)
Citation preview
5/24/2018 Xplico y Kali Linux PAMC
1/9
ALUMNO: PERCY ANGEL MAMANI CORNEJO
CODIGO: 0620063
5/24/2018 Xplico y Kali Linux PAMC
2/9
ANALIZAR EL TRFICO CAPTURADOXPLICO
XPLICO es mucho ms flexible ya que nos permite analizar trama a trama todo el time line del
trfico y nos ofrece una infinidad de opciones y filtros muy potentes; pero a no ser que tengamos
una gran destreza usndolos se convierte en un handicap (que muchos intentamos solucionar
buscando por google.com) ms que en una ayuda.
ESQUEMA DE UN ANALISIS DETRAFICO EN UNA RED
XPLICO:
El objetivode Xplico es el anlisis de una captura de trfico de Internet los datos de aplicaciones
en l contenidos.
Por ejemplo, a partir de un archivo pcap Xplico extrae cada correo electrnico (POP, IMAP y
SMTP), todo el contenido HTTP, cada llamada VoIP (SIP), FTP, TFTP, y as sucesivamente. Xplico no
es un analizador de protocolos de red. Xplico es un anlisis forense de red fuente herramienta
abierta (NFAT).
Xplico se distribuye bajo la Licencia Pblica General de GNU, y con algunas secuencias decomandos bajo Creative Commons Reconocimiento-No comercial-Compartir Igual 3.0 (CC BY-NC-
SA 3.0) Licencia. Para ms detalles vea la licencia.
Sistema Xplico se compone de 4 macro-componentes:
5/24/2018 Xplico y Kali Linux PAMC
3/9
un Gestor Decoder llama DeMa
un decodificador IP llamado Xplico (su estado es aqu) un conjunto de manipuladores de datos un sistema de visualizacin para ver los datos extrados
Lenguajes usadas en el Sistema Xplico
C Pitn PHP JavaScript
LICENCIA
Xplico como decodificador IP est licenciado bajo la Licencia Pblica General de GNU (vase la
licencia para ms detalles).
DeMa est licenciado bajo la Licencia Pblica General de GNU (vase la licencia para ms detalles).
Los manipuladores msite, mpaltalk, mfbc, MFILE y mwmail estn licenciados bajo la Licencia
Pblica General de GNU (vase la licencia para ms detalles).
mimedump.pyc, session_mng.pyc, wbm_aol_v2.pyc, wbm_gmail.pyc, wbm_yahoo_android.pyc ywbm_yahoo_v2.pyc estn licenciados bajo la licencia Creative Commons: CC BY-NC-SA 3.0 (ver
Licencia para ms detalles).
Xplico Interface (XI) es bajo licencia de tri-licencia disyuntiva que le da la eleccin de uno de los
tres siguientes conjuntos de trminos de licencia de software / cdigo abierto gratuitos:
Mozilla Public License, versin 1.1 o posterior Licencia pblica GNU, versin 2.0 o posterior GNU Lesser General Public License, versin 2.1 o posterior
REQUISITOS PARA INA INSTALACION DE LA HERRAMIENTA:
Xplico version
Fedora 19, 18, 17, 16, 15, 14, 13:
Download RPMshere.
Ubuntu 32/64bit from 13.10 to 11.04:
sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CEsudo apt-get update
sudo apt-get install xplico
http://www.cert.org/forensics/tools/#fedorasupporthttp://www.cert.org/forensics/tools/#fedorasupporthttp://www.cert.org/forensics/tools/#fedorasupporthttp://www.cert.org/forensics/tools/#fedorasupport5/24/2018 Xplico y Kali Linux PAMC
4/9
Virtual
Box Image:
Download OVAhere.
Based on Free VirtualBox Image.
user: ubuntu
password: reverseSource code:
Downloadhere.
Installation instructions are in the INSTALL file and in theWiki.
Ubuntu 12.10 32bit:
Downloadhere.
Ubuntu Server 12.10 64bit:
Downloadhere.
Deafult Users
user: admin, xplico
password: xplico, xplico
TIPO DE CAPTURA
Para hacer la prueba he usado una captura de trfico en vivo, esto es, he arrancado Xplico y he
capturado en tiempo real el interfaz de red que tiene conexin a internet. En el mismo porttil
donde corra Xplico me he puesto a navegar y a logearme en distintas webs para generar trfico y
cuando he tenido una pequea muestra representativa he parado la captura.
Xplico es capaz de capturar en tiempo real el trfico, o por el contrario procesar una captura en
formato .pcap.
https://sourceforge.net/projects/xplico/files/VirtualBox%20images/https://sourceforge.net/projects/xplico/files/VirtualBox%20images/https://sourceforge.net/projects/xplico/files/VirtualBox%20images/http://virtualboxes.org/images/ubuntu-server/http://virtualboxes.org/images/ubuntu-server/http://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://wiki.xplico.org/http://wiki.xplico.org/http://wiki.xplico.org/http://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://wiki.xplico.org/http://sourceforge.net/projects/xplico/files/Xplico%20versionshttp://virtualboxes.org/images/ubuntu-server/https://sourceforge.net/projects/xplico/files/VirtualBox%20images/5/24/2018 Xplico y Kali Linux PAMC
5/9
INSTALAR XPLICO
Xplico se puede instalar en diversas maquinas GNU/Linux. Durante las pruebas he probado a
instalarlo tanto en una Mquina Virtual con Ubuntu 13.04 32-bits como enKali Linux,siendo eneste ltimo donde me ha acabado funcionado (en Kali me ha funcionado en el momento
inmediato de instalarlo, luego he reiniciado y para que volviera a funcionar lo he tenido que
reinstalar xD).
Kali Linux
Como no me ha terminado de funcionar en Ubuntu he decidido instalarlo en Kali mediante los
siguinetes comandos:
Comandos opcionales; para asegurarnos que las dependencias estn instaladas
1apt-get install tcpdump tshark apache2 php5 php5-sqlite build-essential perl zlib1g-dev libpcap-dev libsqlite3-dev
php5-cli libapache2-mod-php5 libx11-dev libxt-dev libxaw7-dev python-all sqlite3 recode sox lame libnet1 libnet1-
dev libmysqlclient15-dev
Comandos para instalar en Kali Linux
1
2
3
apt-get install xplico
/etc/init.d/apache2 restart
/etc/init.d/xplico start
ANALIZANDO EL TRFICO
Arrancando la herramienta
Accedemos a la herramienta tenemos que irnos al navegador y escribir: 127.0.1.1:9876 (IP
127.0.1.1 con puerto 9876).
Nos aparecer una pgina de login en la que tendremos que ingresar con las credenciales:
http://www.ubuntu.com/download/desktop/thank-you?distro=desktop&bits=32&release=latesthttp://www.kali.org/downloads/http://www.kali.org/downloads/http://www.ubuntu.com/download/desktop/thank-you?distro=desktop&bits=32&release=latest5/24/2018 Xplico y Kali Linux PAMC
6/9
Usuario: xplico
Password: xplico
Despus de loguearnos nos aparecer una Panel con los Casos existentes.
Cada Casose puede entender como un proyecto diferente. Un ejemplo sera englobar todas lascapturas wifi que hagamos en una tarde en el mismo Caso ya que todas han sido capturadas en el
5/24/2018 Xplico y Kali Linux PAMC
7/9
mism
o espacio de tiempo (y posiblemente tenga relaccin unas con otras).
Dentro de un caso hay diferentes Sesiones,por lo que cada Sesiones una subdivisin de un Caso.Si volvemos al ejemplo anterior en el que todas las capturas de una tarde han sido englobadas
en un Caso; cada una de las pequeas capturas que conforman la tarde entera, ser una sesin.
Cuando creemos un caso nos dar a elegir entre obtener los datos por captura en vivo
(Adquisicin de vivir; la traduccin es muy mala xD) o por el contrario, analizar los datos
mediante un fichero .pcap que le demos.
5/24/2018 Xplico y Kali Linux PAMC
8/9
ANALIZANDO
Una vez recogido y procesado cierto trfico la herramienta nos ofrecer bastantes formas de
visualizacin de la informacin.
En la Pestaa Web -> Site podemos ver todos los componentes que conforman la web ordenados
por formatos.
5/24/2018 Xplico y Kali Linux PAMC
9/9
Dentr
o de la Pestaa WEB -> Images podemos ver todas las imgenes descargadas, no solo con susnombres, sino en formato imgen. Este apartado es muy interesante porque de un vistazo nos
podemos hacer una idea de por donde ha estado navegando el usuario.
En la Pestaa MAIL se mostrar informacin sobre emails enviados o recibidos as como dewebmail. Sin embargo, como la mayora de webmails en la actualidad tienen https, una capa de
cifrado que impide el anlisis de trfico por este mtodo, es muy probable que no captemos nada
en esta seccin.
En las siguientes Pestaas podemos encontrar un poco de todo; Voip, diferentes protocolos de
chat, conexiones ftp, Sin embargo vuelvo a remarcar el tema del cifrado; la mayora de los
servicios que disfrutamos de mensajera, Voip, etc suelen llevar una capa cifrada que impide el
anlisis del trfico de este tipo.
En la ltima Pestaa UNDECODED -> TCP-UDP se expone las tramas que no han sido posibledeterminar que son. La mayora de ellas corresponden a trfico del puerto 443 (HTTPS) que como
antes he comentado, no podemos analizar.
XPLCO 2014