Xplico. Analizando e interpretando nuestras capturas pcap. Algunas Consideraciones.

Publicado el 11 junio, 2010 por Alfon

Ya hemos visto como instalar y usar Xplico. En esta ocasion vamos a tratar algunas dudas que me habeis hecho llegar, como errores de upload en los .pcap, uso de la Geolocalización…..

xplico y google earth geomap en seguridad y redes

Xplico. Upload Failed. 

Ocurre que cuando una determinada captura almacenada en .pcap sobrepasa un tamaño predefinido, al «subir» dicha captura a la sesión en curso, Xplico nos devuelve un error: Upload Failed.

La Solución.Esto ocurre porque existen dos valores en el archivo php.ini que son:

  • post_max_size
  • upload_max_filesize

Por defecto tiene un valor bajo, sobre 2 M. Lo único que tenemos que hacer es cambiarlos. El archivo se encuentra en:

etc/php5/apache2/php.ini

En mi caso he cambiado a los siguientes valores:

  • post_max_size = 75M
  • upload_max_filesize = 75M


xplico configuracion en seguridad y redes php.ini

Hay que salir de Xplico, reiniciar Apache, volver a iniciar Xplico y cargar la URL http://127.0.1.1:9876.

Uso de Geolocalización. GeoMap.

Ya vimos en (Wireshark. Estadísticas y GeoIP.) nociones sobre Geolocalización a través de Wireshark. Vamos a ver su uso ahora con Xplico.

Cuando, en el menu GeoMap queremos ver la Geolocalización de las IP, sites, etc,  involucrados en la captura, Xplico lo único que hace es crearun archivo .kml, que como todos sabeis es un archivo de Google Earth. Para usar esta característica tan solo habrá que instalar Google Earth y GeoIP, GeoLiteCity.

Para Google  Earth tan solo ir a la pagina correspondiente y bajar e instalar el .bin con sh.

xplico y google earth

Para que GeoIP funcione correctamente, es necesario  seguir escrupulosamente los pasos de instalación. Si es necesario desistalamos Xplico y lo volvemos a instalar siguiendo los pasos de esta forma:

_____________________________________________________

NOTAS IMPORTANTES ANTES DE INSTALAR: La instalación para la versión 0.5.7 de Xplico. Hay que reemplazar 0.5.x por 0.5.7. Cuando aparezca:

cd xplico hay que sustituir por cd xplico-0.5.7

—————————————————————————–

Los pasos:

http://wiki.xplico.org/doku.php?id=tutorial:0.5.6

Una vez terminado e insertado en el navegador la URL http://127.0.1.1:9867 , xplico nos indicará que tenemos que correr un script para activarlo. A partir de ahí podenmos trabajar sin problemas.

GoMap y Google Earth.

Cuando creamos  el fichero .kml en el menú Graphs > GeoMAP, lo descargamos y abrimos con Google Earh y:

xplico y google earth geomap en seguridad y redes

Esta entrada fue publicada en Herramientas, Interpretación capturas tráfico red. pcap, Seguridad y redes, Wireshark . Tshark, Xplico. Guarda el enlace permanente.

2 respuestas a Xplico. Analizando e interpretando nuestras capturas pcap. Algunas Consideraciones.

  1. Jaro dijo:
    11 junio, 2010 en 1:09 pm

    Gracias alfon me estaba partiendo la cabeza porque Xplico no me subia las capturas. Ahora todo va bien.

    Responder

  2. Pingback: Visualización interactiva de tráfico de red con INAV. | Seguridad y Redes

Deja un comentario