Ferramenta Forense de Análise de Rede (NFAT) - Xplico
Uma excelente ferramenta de análise forense, que é capaz de interpretar quase todos os protocolos mais usados e capturados de forma prática e visual. Imagine descobrir qual site, e-mail, e até conversa VOIP que um computador trafegou.
[ Hits: 66.860 ]
Por: Paulo Roberto Junior - WoLF em 06/08/2010
Instalação do Xplico
Um breve sobre as especialidades do software.
O objetivo do Xplico é capturar o tráfego da Internet, rede local e seus protocolos.
Por exemplo, a partir de um arquivo capturado pcap, o Xplico pode extrair e-mails (POP, IMAP e SMTP), todo o conteúdo HTTP, cada chamada de VoIP (SIP), FTP, TFTP, e assim por diante.
Xplico não é um analisador de protocolo de rede. Xplico é uma Network Forensic Analysis Tool (NFAT), ou Ferramenta de Análise Forense de Rede.
Xplico é liberado sob a licença GNU - General Public License.
O passo a passo da instalação que consultei e utilizei foi a do próprio site do projeto xplico, em:
Caso não tenha paciência ou somente deseja testar o projeto, baixe as versões com LIVE CD/DVD ou com IMAGENS de Máquinas Virtuais (VM).
Vou compartilhar com vocês essas informações e ocultar passos desnecessários.
A distribuição utilizada foi a Ubuntu 8.10 SERVER, mas você pode utilizar em um Desktop ou Ubuntu 9.10, 10.04, ou até mesmo em qualquer distribuição como Slackware, Red Hat, CentOS.
Abra um terminal e instale as dependências necessárias:
sudo apt-get install tcpdump tshark apache2 php5 php5-sqlite build-essential perl zlib1g-dev libpcap-dev libsqlite3-dev php5-cli libapache2-mod-php5 libx11-dev libxt-dev libxaw7-dev python-all sqlite3 recode sox lame libnet1 libnet1-dev php5-sqlite
Apos concluir o download e instalação das dependências necessárias, vamos instalar o xplico:
Efetue o download do Xplico no site do projeto em:
Efetue a descompressão do pacote:
sudo tar zxvf xplico-0.5.x.tgz
Baixe o app GeoIp, conforme solicitado no projeto:
sudo wget http://geolite.maxmind.com/download/geoip/api/c/GeoIP-1.4.6.tar.gz
tar zxvf GeoIP-1.4.6.tar.gz
$ cd GeoIP-1.4.6
$ ./configure
$ make
$ cd ..
$ rm -f *.tar.gz
$ cd xplico
$ wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
gzip -d GeoLiteCity.dat.gz
$ rm -f *dat.gz
$ make
$ cd ..
$ wget http://mirror.cs.wisc.edu/pub/mirrors/ghost/GPL/ghostpdl/ghostpdl-8.70.tar.bz2
tar jxvf ghostpdl-8.70.tar.bz2
$ rm -f *.bz2
$ cd ghostpdl-8.70
$ make
$ cd ..
$ cp ghostpdl-8.70/main/obj/pcl6 xplico-0.5.x
$ rm -rf ghostpdl-8.70
$ wget http://downloads.sourceforge.net/project/ucsniff/videosnarf/videosnarf-0.62.tar.gz
wget http://projects.xplico.org/patch/videosnarf_xplico.patch.gz
tar xvzf videosnarf-0.62.tar.gz
$ gunzip videosnarf_xplico.patch.gz
$ cd videosnarf-0.62
$ patch -p1 < ../videosnarf_xplico.patch
$ ./configure
$ make
$ cd ..
$ cp videosnarf-0.62/src/videosnarf xplico-0.5.x
$ Install Xplico
$ cd xplico-0.5.x
$ make install
$ cp /opt/xplico/cfg/apache_xi /etc/apache2/sites-enabled/xplico
Adicione as seguintes linhas no /etc/apache2/ports.conf ou similar, dependendo da configuração de seu Apache:
Altere seu php.ini, caso ele possua apenas upload de pequenas quantidades em MEGAS - /etc/php5/apache2/php.ini.
As linhas são:
Habilite o modo reescrita no Apache:
sudo a2enmod rewrite
Reinicie seu Apache:
sudo /etc/init.d/apache2 restart
Usuário padrão ao instalar:
O objetivo do Xplico é capturar o tráfego da Internet, rede local e seus protocolos.
Por exemplo, a partir de um arquivo capturado pcap, o Xplico pode extrair e-mails (POP, IMAP e SMTP), todo o conteúdo HTTP, cada chamada de VoIP (SIP), FTP, TFTP, e assim por diante.
Xplico não é um analisador de protocolo de rede. Xplico é uma Network Forensic Analysis Tool (NFAT), ou Ferramenta de Análise Forense de Rede.
Xplico é liberado sob a licença GNU - General Public License.
Características
- Protocolos suportados: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6, ...;
- Porta Independente Protocolo de Identificação (PiPi) para cada protocolo de aplicação;
- Multithreading;
- Saída de dados e informações em banco de dados SQLite ou banco de dados MySQL e/ou arquivos;
- TCP ACK remontagem com a verificação de qualquer pacote;
- A consulta reversa do DNS dos pacotes DNS contidas nos arquivos de entradas (CPPE), não do servidor DNS externo;
- Não há limite de tamanho para entrada de dados ou o número de arquivos de entrada (o único limite é o tamanho HD);
- Suporte a IPv4 e IPv6;
- Modularidade. Cada componente Xplico é modular. A interface de entrada, o decodificador do protocolo e a interface de saída (dispatcher) são todos os módulos.
O passo a passo da instalação que consultei e utilizei foi a do próprio site do projeto xplico, em:
Caso não tenha paciência ou somente deseja testar o projeto, baixe as versões com LIVE CD/DVD ou com IMAGENS de Máquinas Virtuais (VM).
Vou compartilhar com vocês essas informações e ocultar passos desnecessários.
A distribuição utilizada foi a Ubuntu 8.10 SERVER, mas você pode utilizar em um Desktop ou Ubuntu 9.10, 10.04, ou até mesmo em qualquer distribuição como Slackware, Red Hat, CentOS.
Abra um terminal e instale as dependências necessárias:
sudo apt-get install tcpdump tshark apache2 php5 php5-sqlite build-essential perl zlib1g-dev libpcap-dev libsqlite3-dev php5-cli libapache2-mod-php5 libx11-dev libxt-dev libxaw7-dev python-all sqlite3 recode sox lame libnet1 libnet1-dev php5-sqlite
Apos concluir o download e instalação das dependências necessárias, vamos instalar o xplico:
Efetue o download do Xplico no site do projeto em:
Efetue a descompressão do pacote:
sudo tar zxvf xplico-0.5.x.tgz
Baixe o app GeoIp, conforme solicitado no projeto:
sudo wget http://geolite.maxmind.com/download/geoip/api/c/GeoIP-1.4.6.tar.gz
tar zxvf GeoIP-1.4.6.tar.gz
$ cd GeoIP-1.4.6
$ ./configure
$ make
$ cd ..
$ rm -f *.tar.gz
$ cd xplico
$ wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
gzip -d GeoLiteCity.dat.gz
$ rm -f *dat.gz
$ make
$ cd ..
$ wget http://mirror.cs.wisc.edu/pub/mirrors/ghost/GPL/ghostpdl/ghostpdl-8.70.tar.bz2
tar jxvf ghostpdl-8.70.tar.bz2
$ rm -f *.bz2
$ cd ghostpdl-8.70
$ make
$ cd ..
$ cp ghostpdl-8.70/main/obj/pcl6 xplico-0.5.x
$ rm -rf ghostpdl-8.70
$ wget http://downloads.sourceforge.net/project/ucsniff/videosnarf/videosnarf-0.62.tar.gz
wget http://projects.xplico.org/patch/videosnarf_xplico.patch.gz
tar xvzf videosnarf-0.62.tar.gz
$ gunzip videosnarf_xplico.patch.gz
$ cd videosnarf-0.62
$ patch -p1 < ../videosnarf_xplico.patch
$ ./configure
$ make
$ cd ..
$ cp videosnarf-0.62/src/videosnarf xplico-0.5.x
$ Install Xplico
$ cd xplico-0.5.x
$ make install
$ cp /opt/xplico/cfg/apache_xi /etc/apache2/sites-enabled/xplico
Adicione as seguintes linhas no /etc/apache2/ports.conf ou similar, dependendo da configuração de seu Apache:
# xplico Host port
NameVirtualHost *:9876
Listen 9876
NameVirtualHost *:9876
Listen 9876
Altere seu php.ini, caso ele possua apenas upload de pequenas quantidades em MEGAS - /etc/php5/apache2/php.ini.
As linhas são:
post_max_size = 100M
upload_max_filesize = 100M
upload_max_filesize = 100M
Habilite o modo reescrita no Apache:
sudo a2enmod rewrite
Reinicie seu Apache:
sudo /etc/init.d/apache2 restart
Usuário padrão ao instalar:
- username: xplico
- password: xplico
Páginas do artigo
1. Introdução2. Instalação do Xplico
3. Uso e telas
4. Extras, dicas, conclusão
Outros artigos deste autor
QRCODE - Código de barras bidimensional
GINGA - Software Livre para TV Digital Brasileira
Stoq - Gestão comercial open source
OpenGoo - Seu escritório nas nuvens Online-Ontime-Fulltime
Samba + DHCP + Webmin em 3 distribuições Linux
Leitura recomendada
Segurança no Linux: Antivírus, Firewall, Wine - Mitos e Verdades
Usando o John theRipper para manter sua rede segura
Gerenciando certificados A1 fornecidos pelo ICB-Brasil no navegador Chrome sobre Linux
Análise de Atividades Suspeitas com Audit
Comentários
[2] Comentário enviado por ggalmeida em 06/08/2010 - 14:06h
Excelente. Posso monitorar máquinas rodando qualquer SO que estejam inseridas na rede?
Abraço.
Excelente. Posso monitorar máquinas rodando qualquer SO que estejam inseridas na rede?
Abraço.
[3] Comentário enviado por cytron em 06/08/2010 - 23:15h
Tá louco! Ferramentinha violenta, isso disseca a rede mais do que um estudante de medicina disceca um sapo! Só pra testar me conectei a uma rede wireless de um provedor aqui da região, o resultado foi surpriendente. Me senti como se fosse o google (dono do mundo) kkkkkkkkk.
Para trabalhar como segurança ou investigador digital esse Xplico é ideal.
Tá louco! Ferramentinha violenta, isso disseca a rede mais do que um estudante de medicina disceca um sapo! Só pra testar me conectei a uma rede wireless de um provedor aqui da região, o resultado foi surpriendente. Me senti como se fosse o google (dono do mundo) kkkkkkkkk.
Para trabalhar como segurança ou investigador digital esse Xplico é ideal.
[4] Comentário enviado por jem06 em 08/08/2010 - 20:19h
legal cara, muito obrigado. Eu tenho como preceito, respeitar todos estes trabalhos. Se um dia eu conseguir tudo isto. Jamais prejudicarei alguem. Bom trabalho Paulo. Mas reitero o meu comportamento, conhecer é ótimo. JOnny maia.
legal cara, muito obrigado. Eu tenho como preceito, respeitar todos estes trabalhos. Se um dia eu conseguir tudo isto. Jamais prejudicarei alguem. Bom trabalho Paulo. Mas reitero o meu comportamento, conhecer é ótimo. JOnny maia.
[5] Comentário enviado por jem06 em 08/08/2010 - 20:21h
Obrigado Paulo. Tenho por preceito, jamais prejudicar alguem. Mas muito obrigado. Jonny maia
Obrigado Paulo. Tenho por preceito, jamais prejudicar alguem. Mas muito obrigado. Jonny maia
[6] Comentário enviado por paulorvojr em 09/08/2010 - 03:03h
De nada galera, ajudar sempre e compartilhar informações sempre é útil para ambos os lados.
Mesmo uma ferramenta que pode ser usada pro bem ou pro EVIL!! rsrsrs, não se aprende sem praticar .
Abraços.
De nada galera, ajudar sempre e compartilhar informações sempre é útil para ambos os lados.
Mesmo uma ferramenta que pode ser usada pro bem ou pro EVIL!! rsrsrs, não se aprende sem praticar .
Abraços.
[7] Comentário enviado por cpaynes em 12/09/2010 - 13:40h
opa .. blza ???
bom artigo ... pouca coisa eh encontrada nesse sentido ...
eu estou com um problema .. seguinte ..
no momento em que eu vou realizar o make install dentro do diretorio xplico-0.5.8 me da esse erro que segue abaixo...
todas as dependencias estao instaladas .. se vc souber o que pode ser ... agradeco ...
cc -rdynamic -I/opt/xbuild/xplico-0.5.8/system/dema/include -Wall -g -ggdb -fPIC -D_FILE_OFFSET_BITS=64 -DDB_SQLITE2=1 -c -o dbinterface.o dbinterface.c
dbinterface.c:28:25: error: mysql/mysql.h: Arquivo ou diretório não encontrado
dbinterface.c:39: error: expected ‘=’, ‘,’, ‘;’, ‘asm’ or ‘__attribute__’ before ‘*’ token
dbinterface.c: In function ‘DBIntQuery’:
dbinterface.c:53: warning: implicit declaration of function ‘mysql_query’
dbinterface.c:53: error: ‘conn’ undeclared (first use in this function)
dbinterface.c:53: error: (Each undeclared identifier is reported only once
dbinterface.c:53: error: for each function it appears in.)
dbinterface.c:76:6: warning: #warning "to complete"
dbinterface.c: In function ‘DBIntInit’:
dbinterface.c:84: error: ‘MYSQL’ undeclared (first use in this function)
dbinterface.c:84: error: ‘ret’ undeclared (first use in this function)
dbinterface.c:95: error: ‘conn’ undeclared (first use in this function)
dbinterface.c:95: warning: implicit declaration of function ‘mysql_init’
dbinterface.c:96: warning: implicit declaration of function ‘mysql_real_connect’
dbinterface.c: In function ‘DBIntClose’:
dbinterface.c:134: warning: implicit declaration of function ‘mysql_close’
dbinterface.c:134: error: ‘conn’ undeclared (first use in this function)
make[2]: ** [dbinterface.o] Erro 1
make[2]: Saindo do diretório `/opt/xbuild/xplico-0.5.8/system/dema'
make[1]: ** [subdir] Erro 1
make[1]: Saindo do diretório `/opt/xbuild/xplico-0.5.8/system'
make: ** [subdir] Erro 1
opa .. blza ???
bom artigo ... pouca coisa eh encontrada nesse sentido ...
eu estou com um problema .. seguinte ..
no momento em que eu vou realizar o make install dentro do diretorio xplico-0.5.8 me da esse erro que segue abaixo...
todas as dependencias estao instaladas .. se vc souber o que pode ser ... agradeco ...
cc -rdynamic -I/opt/xbuild/xplico-0.5.8/system/dema/include -Wall -g -ggdb -fPIC -D_FILE_OFFSET_BITS=64 -DDB_SQLITE2=1 -c -o dbinterface.o dbinterface.c
dbinterface.c:28:25: error: mysql/mysql.h: Arquivo ou diretório não encontrado
dbinterface.c:39: error: expected ‘=’, ‘,’, ‘;’, ‘asm’ or ‘__attribute__’ before ‘*’ token
dbinterface.c: In function ‘DBIntQuery’:
dbinterface.c:53: warning: implicit declaration of function ‘mysql_query’
dbinterface.c:53: error: ‘conn’ undeclared (first use in this function)
dbinterface.c:53: error: (Each undeclared identifier is reported only once
dbinterface.c:53: error: for each function it appears in.)
dbinterface.c:76:6: warning: #warning "to complete"
dbinterface.c: In function ‘DBIntInit’:
dbinterface.c:84: error: ‘MYSQL’ undeclared (first use in this function)
dbinterface.c:84: error: ‘ret’ undeclared (first use in this function)
dbinterface.c:95: error: ‘conn’ undeclared (first use in this function)
dbinterface.c:95: warning: implicit declaration of function ‘mysql_init’
dbinterface.c:96: warning: implicit declaration of function ‘mysql_real_connect’
dbinterface.c: In function ‘DBIntClose’:
dbinterface.c:134: warning: implicit declaration of function ‘mysql_close’
dbinterface.c:134: error: ‘conn’ undeclared (first use in this function)
make[2]: ** [dbinterface.o] Erro 1
make[2]: Saindo do diretório `/opt/xbuild/xplico-0.5.8/system/dema'
make[1]: ** [subdir] Erro 1
make[1]: Saindo do diretório `/opt/xbuild/xplico-0.5.8/system'
make: ** [subdir] Erro 1
[8] Comentário enviado por paulorvojr em 12/09/2010 - 14:54h
christovam_cps, tudo bom?
Segundo o erro, informa que você não tem mysql instalado ou registrado. Ele precisa de um SGBD, tudo bem so para se logar no mini-painel dele na web, mas ele pede, temos que atender.
abraços
christovam_cps, tudo bom?
Segundo o erro, informa que você não tem mysql instalado ou registrado. Ele precisa de um SGBD, tudo bem so para se logar no mini-painel dele na web, mas ele pede, temos que atender.
abraços
[9] Comentário enviado por cpaynes em 12/09/2010 - 22:00h
opa..
tranquilo aqui..
Mas estranho o seguintee, eu ja possuia o mysql instalado e funcionando com outras ferramentas,
e as dependencias que foi solicitadas instalaram corretamente, ai eu peguei e instalei em outro micro aqui tambem
e funcionou perfeitamente. essa semana eu dou uma olhada com calma o que pdoe ser ..
que no comeco eu ate achei que o mysql.h fosse do xplico ..
mas agradeco o retorno ...
abracos ...
opa..
tranquilo aqui..
Mas estranho o seguintee, eu ja possuia o mysql instalado e funcionando com outras ferramentas,
e as dependencias que foi solicitadas instalaram corretamente, ai eu peguei e instalei em outro micro aqui tambem
e funcionou perfeitamente. essa semana eu dou uma olhada com calma o que pdoe ser ..
que no comeco eu ate achei que o mysql.h fosse do xplico ..
mas agradeco o retorno ...
abracos ...
[10] Comentário enviado por giomagno em 14/04/2012 - 12:26h
e ai beleza, realizei a instalação da nova versão seguindo os procedimentos do próprio site deles, mas quando eu termino de upar os arquivos pcap, não consigo gerar os gráficos será que esqueci algo?
e ai beleza, realizei a instalação da nova versão seguindo os procedimentos do próprio site deles, mas quando eu termino de upar os arquivos pcap, não consigo gerar os gráficos será que esqueci algo?
[11] Comentário enviado por davidt em 09/09/2013 - 16:19h
O comando "Install Xplico", não funciona. Estou usando Ubuntu 12.04.
Erro:
root@jcruzeiro-ProLiant-ML110-G5:/home/jcruzeiro# Install Xplico
No command 'Install' found, did you mean:
Command 'install' from package 'coreutils' (main)
Install: command not found
O comando "Install Xplico", não funciona. Estou usando Ubuntu 12.04.
Erro:
root@jcruzeiro-ProLiant-ML110-G5:/home/jcruzeiro# Install Xplico
No command 'Install' found, did you mean:
Command 'install' from package 'coreutils' (main)
Install: command not found
[12] Comentário enviado por paulorvojr em 10/09/2013 - 00:41h
Davidt, tudo bom?
tenta isso:
sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico
Davidt, tudo bom?
tenta isso:
sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico
[13] Comentário enviado por VandersonDiniz em 18/11/2013 - 00:20h
giomagno, dê uma olhada nisso:
"Dns Graphs
The graphs are made with Open Flash Chart."
http://localhost:9876/users/help
giomagno, dê uma olhada nisso:
"Dns Graphs
The graphs are made with Open Flash Chart."
http://localhost:9876/users/help
[14] Comentário enviado por VandersonDiniz em 18/11/2013 - 00:47h
http://teethgrinder.co.uk/open-flash-chart-2/tutorial.php
http://teethgrinder.co.uk/open-flash-chart-2/tutorial.php
[15] Comentário enviado por paulorvojr em 18/11/2013 - 17:22h
A ideia é excelente galera, mas peca em ser exclusivo em flash.
Hoje em dia utilizo http://www.fusioncharts.com/
funciona em qualquer tablet, seja android ou ios
A ideia é excelente galera, mas peca em ser exclusivo em flash.
Hoje em dia utilizo http://www.fusioncharts.com/
funciona em qualquer tablet, seja android ou ios
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
Compartilhando a tela do Computador no Celular via Deskreen
Como Configurar um Túnel SSH Reverso para Acessar Sua Máquina Local a Partir de uma Máquina Remota
Configuração para desligamento automatizado de Computadores em um Ambiente Comercial
Dicas
Como renomear arquivos de letras maiúsculas para minúsculas
Imprimindo no formato livreto no Linux
Vim - incrementando números em substituição
Efeito "livro" em arquivos PDF
Como resolver o erro no CUPS: Unable to get list of printer drivers
Tópicos
Não to conseguindo resolver este problemas ao instalar o playonelinux (1)
Excluir banco de dados no xampp (1)
Top 10 do mês
-
Xerxes
1° lugar - 65.065 pts -
Fábio Berbert de Paula
2° lugar - 50.633 pts -
Buckminster
3° lugar - 17.479 pts -
Mauricio Ferrari
4° lugar - 15.220 pts -
Alberto Federman Neto.
5° lugar - 13.790 pts -
Diego Mendes Rodrigues
6° lugar - 13.567 pts -
Daniel Lara Souza
7° lugar - 12.929 pts -
Andre (pinduvoz)
8° lugar - 10.303 pts -
edps
9° lugar - 10.392 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
10° lugar - 10.264 pts
Scripts
[Python] Automação de scan de vulnerabilidades
[Python] Script para analise de superficie de ataque
[Shell Script] Novo script para redimensionar, rotacionar, converter e espelhar arquivos de imagem
[Shell Script] Iniciador de DOOM (DSDA-DOOM, Doom Retro ou Woof!)
[Shell Script] Script para adicionar bordas às imagens de uma pasta
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
