Ya vimos, en los dos artículos que he dedicado a esta gran herramienta que es Xplico (Linux), su instalación y uso básico (con un ejemplo sobre VoIP), también vimos la resolución de algunos errores y el uso de geolocalizazión y GeoIP.
Seguimos avanzando y vamos a seguir indagando para extraer toda la información que Xplico nos puede aportar sobre nuestro tráfico de red a partir de ficheros .pcap.
Para los que son nuevos en Xplico, os remito a la primera parte (instalación y uso básico en Linux) y segunda parte (resolución de problemas y geolocalización.) Para los demás….
Creación de un nuevo Case y Session.
Creamos un nuevo Case o usamos uno ya creado. Creamos también una nueva Session y hacemos un uploader de nuestro fichero .pcap. En mi caso se trata de un fichero de 115 Mb, con lo que tuve que modificar los valores de php.ini para evitar el famoso «error uploader«. No os olvideis después de realizar los cambios de reiniciar los servicios:
- /etc/init.d/apache2 restart
- /etc/init.d/xplico restart
Bien, ya hemos creado el Case y Session. Una vez cargado y decodificado por Xplico nuestro .pcap, tenemos nuestra pantalla Session Data siguiente:
Extrayendo información.
Bien, vamos ahora al menú de la derecha (no aparece en la captura de pantalla de arriba) y elegimos Web> Sites
elegimos cualquiera de los items, en mi caso elegí el correspondiente a la URL http://www.google.es:
Observad arriba que hay un pequeño menú para elegir las URLs en la que podemos filtrar por html, image, flash, video y audio.
Seguimos..
Tenemos dos columnas Method e Info.
La columna Method nos informa de HTTP Requests y HTTP Response del item elegido, si pinchamos en Method, en este caso tenemos:
si pinchamos en la columna Info (info.xml), nos aparecerá información decodificada y ordenada por capas / protocolos involucrados (orden inverso a la forma que aparecería en Wireshark por ejemplo):
Web. Images.
En el menú de la derecha Web > Images tenemos información gráfica (las imagenes):
Mail. Email.
Si en le menú de la derecha elegimos Mail > Email, podemos elegir cualquiera de los items de captura de transacciones correo. Abrimos uno y vemos que tiene un archivo .XLS adjunto. Este lo podemos guardar para posteriormente analizarlo, ver la información decodificada por portocolos y descargar el mail en formato .eml:
====
Y hasta aquí por hoy.. hasta la próxima.
En el próximo y último capítulo sobre Xplico veremos captura con datos sobre Webmail. Feeds, etc.