Ya hemos visto aquí varios artículos de Xplico, basados siempre en una la interface visual. Recordad que decíamos:
«En ocasiones, para interpretar nuestras capturas .pcap realizadas en Tshark, Wireshark, Windump, TCPDump, etc, disponemos de poco tiempo o, simplemente, queremos tener los datos interpretados de una forma sencilla y muy visual. Para ello disponemos de una herramienta de muy facil uso que es Xplico (GNU/GPL). Con Xplico podemos abrir un archivo .pcap o realizar una captura in-situ (live), al momento y después «destripar» y analizar los datos. También es usado para análisis forense.»
Vimos como instalarlo, uso y algunos ejemplo. También vimos com Geolocalizar con Xplico y Google Earth.
Pues bien, en esta ocasión vamos a instalar y usar Xplico en modo consola.
Instalación de Xplico para modo consola.
Se refiere a la instalación mínima a partir del código fuente.
Tenéis que tener en cuenta una serie de requisitos mínimos que, de haber seguido los artículos referente a herramientas pcap, IDS, Snort, etc. Ya debeis tener.
De cualquier foma, para Xplico en modo consola es imprescindible:
- libpcap (el proceso de inastalación lo vismos aquí: Instalando y Configurando Centro IDS / IPS con Prelude SIEM, Snort y Prewikka. Parte I)
- libsqulite3 (lo podéis instalalar desde un gestor de paquetes o con apt-get)
- tcpdump
Es opcional la instalación de utilidades para decodificar vídeo, sonido, etc:
- sox
wget http://ufpr.dl.sourceforge.net/sourceforge/sox/sox-14.3.2.tar.gz
tar -xf sox-14.3.2.tar.gz
cd sox-14.3.2
./configure –prefix=/usr
make
make install
ldconfig -v
- lame
wget http://ufpr.dl.sourceforge.net/sourceforge/lame/lame-3.98.4.tar.gz
tar -xf lame-3.98.4.tar.gz
cd lame-3.98.4
./configure –prefix=/usr
make
make install
ldconfig -v
- videosnarf-0.62
También necesitamos, aunque es opcional, la instalación de GeoIP (http://www.maxmind.com/app/c) y la base de datos GeoLiteCity.dat.gz (http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz)
Sobre Geolocalización usando Xplico conm la interface web tenéis más información aquí: ( Xplico. Analizando e interpretando nuestras capturas pcap. Algunas Consideraciones. )
Igualmente, si queremos decodificar trabajos de imprersión por red ( Wireshark / Tshark. Capturando impresiones en red. ), debemos desde http://downloads.ghostscript.com/public/ descargar e instalar Ghostpcl y copiar en la carpeta donde tengamos Xplico la carpeta: pcl6.
Si ya lo tenemos todo..:
Instalando Xplico.
Para ello:
wget http://sourceforge.net/projects/xplico/files/Xplico versions/version 0.6.2/xplico-0.6.2.tgz
tar -xzvf xplico-0.6.2.tgz
make
Pues ya tenemos todo lo necesario. A lío…
Uso básico de Xplico en modo consola.
Podemos usar Xplico de estas dos formas:
- desde un fichero .pcap -m pcap -f fichero.pcap
- en tiempo real indicado una interface de red -m rltm -i ethx (paramos la captura con Control+C).
Tanto para un método como el otro, el resultado de volcará en /xdecode dentro de la carpeta donde tengamos xplico, salvo que indiquemos lo contrario con la opción -d /nombrecarpeta.
Un ejemplo.
Dentro de xdecode tendremos una estructura con las IP de los host del laboratorio involucradas en la captura:
Como véis, abajo tenemos dos archivos .kml de Geolocalización para Google Earth.
si entramos en una de las carpetas, por ejemplo 192.168.1.36, vemosque tienes otras carpetas como:
- dns
- http
- in
- out
- grbtcp
- grbudp
podríamos tener más, pero en esta captura solo tenemos datos de estos protocolos/decoders.
dentro de xdecode/192.168.1.36/email/in tenemos los siguientes datos correspondiente a correos entrantes IMAP:
Si abrimos cualquiera de esos .eml, verenmos el contenido del email, cabeceras, etc, etc.
Igualmente si entramos en carpeta xdecode/192.168.1.36/http/IP
tendremos una lista de objetos http incluído .css, imagenes, .js, .asp, .html, .swf, etc, etc, también tendremos una carpeta post con datos de envio.
Esto ocurrirá con todo lo detectado con Xplico. Incluido audio, video, sesiones ftp, mensajería, etc.
Gráfico jerarquía de protocolos.
Podemos usar la opción -g (./xplico -g) para ver un gráfico de los porotcolos usados por xplico y que puedenser decodificados y su jerarquía.
Una pequeña muestra:
con la opción i- protocolo podenmos ver más información del uso de los porotcolos por parte de xplico.Por ejemplo para IPP (Internet Printing Protocol):
.
Relacionado con Xplico en este blog:
- Xplico. Analizando e interpretando nuestras capturas pcap.
- Xplico. Analizando e interpretando nuestras capturas pcap. Algunas Consideraciones. (Geolocalización, etc.)
- Xplico. Analizando e interpretando nuestras capturas pcap. Avanzando en la extracción de información.
====
Y hasta aquí por hoy. Hasta la próxima.
Que buen articulo, muy claro y preciso. Excelente tu página Alfon.
amigo, buen dia, la mayoria de los programas utilizados lo hace bajo SO linux o windows?
de antemano ofresco disculpas por mi ignorancia. Gracias
Hola the quka,
Normlamente suelo indicar si es para Windows o Linux. En algunos casos la instalación la indico para los dos sistemas.
últimamente la mayoría del las herramientas de las que hablo son para Linux.