Xplico. Analizando e interpretando nuestras capturas pcap. Avanzando en la extracción de información.

Publicado el 28 octubre, 2010 por Alfon

Ya vimos, en los dos artículos que he dedicado a esta gran herramienta que es Xplico (Linux), su instalación y uso básico (con un ejemplo sobre VoIP), también vimos la resolución de algunos errores y el uso de geolocalizazión y GeoIP.

xplico http method

Seguimos avanzando y vamos a seguir indagando para extraer toda la información que Xplico nos puede aportar sobre nuestro tráfico de red a partir de ficheros .pcap.

Para los que son nuevos en Xplico, os remito a la primera parte (instalación y uso básico en Linux) y segunda parte (resolución de problemas y geolocalización.) Para los demás….

Creación de un nuevo Case  y Session.

Creamos un nuevo Case o usamos uno ya creado. Creamos también una nueva Session y hacemos un uploader de nuestro fichero .pcap. En mi caso se trata de un fichero de 115 Mb, con lo que tuve que modificar los valores de php.ini para evitar el famoso «error uploader«. No os olvideis después de realizar los cambios de reiniciar los servicios:

  • /etc/init.d/apache2 restart
  • /etc/init.d/xplico restart

Bien, ya hemos creado el Case y Session. Una vez cargado y decodificado por Xplico nuestro .pcap, tenemos nuestra pantalla Session Data siguiente:

xplico pantalla session data

Extrayendo información.

Bien, vamos ahora al menú de la derecha (no aparece en la captura de pantalla de arriba) y elegimos Web> Sites

elegimos cualquiera de los items, en mi caso elegí el correspondiente a la URL http://www.google.es:

Xplico

Observad arriba que hay un pequeño menú para elegir las URLs en la que podemos filtrar por html, image, flash, video y audio.

Seguimos..

Tenemos dos columnas Method e Info.

La columna Method nos informa de HTTP Requests y HTTP Response del item elegido, si pinchamos en Method, en este caso tenemos:

xplico http method

si pinchamos en la columna Info (info.xml), nos aparecerá información decodificada y ordenada por capas / protocolos involucrados (orden inverso a la forma que aparecería en Wireshark por ejemplo):

xplico decoding info

Web. Images.

En el menú de la derecha Web > Images tenemos información gráfica (las imagenes):

xplico web imagenes

Mail. Email.

Si en le menú de la derecha elegimos Mail > Email, podemos elegir cualquiera de los items de captura de transacciones correo. Abrimos uno y vemos que tiene un archivo .XLS adjunto. Este lo podemos guardar para posteriormente analizarlo, ver la información decodificada por portocolos y descargar el mail en formato .eml:

xplico mail email decodificador

====

Y hasta aquí por hoy.. hasta la próxima.

En el próximo y último capítulo sobre Xplico veremos captura con datos sobre Webmail. Feeds, etc.

Esta entrada fue publicada en Seguridad y redes, Xplico. Guarda el enlace permanente.

Deja una respuesta

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s