Ferramenta Forense de Análise de Rede (NFAT) - Xplico
Uma excelente ferramenta de análise forense, que é capaz de interpretar quase todos os protocolos mais usados e capturados de forma prática e visual. Imagine descobrir qual site, e-mail, e até conversa VOIP que um computador trafegou.
[ Hits: 67.700 ]
Por: Paulo Roberto Junior - WoLF em 06/08/2010
Instalação do Xplico
Um breve sobre as especialidades do software.
O objetivo do Xplico é capturar o tráfego da Internet, rede local e seus protocolos.
Por exemplo, a partir de um arquivo capturado pcap, o Xplico pode extrair e-mails (POP, IMAP e SMTP), todo o conteúdo HTTP, cada chamada de VoIP (SIP), FTP, TFTP, e assim por diante.
Xplico não é um analisador de protocolo de rede. Xplico é uma Network Forensic Analysis Tool (NFAT), ou Ferramenta de Análise Forense de Rede.
Xplico é liberado sob a licença GNU - General Public License.
O passo a passo da instalação que consultei e utilizei foi a do próprio site do projeto xplico, em:
Caso não tenha paciência ou somente deseja testar o projeto, baixe as versões com LIVE CD/DVD ou com IMAGENS de Máquinas Virtuais (VM).
Vou compartilhar com vocês essas informações e ocultar passos desnecessários.
A distribuição utilizada foi a Ubuntu 8.10 SERVER, mas você pode utilizar em um Desktop ou Ubuntu 9.10, 10.04, ou até mesmo em qualquer distribuição como Slackware, Red Hat, CentOS.
Abra um terminal e instale as dependências necessárias:
sudo apt-get install tcpdump tshark apache2 php5 php5-sqlite build-essential perl zlib1g-dev libpcap-dev libsqlite3-dev php5-cli libapache2-mod-php5 libx11-dev libxt-dev libxaw7-dev python-all sqlite3 recode sox lame libnet1 libnet1-dev php5-sqlite
Apos concluir o download e instalação das dependências necessárias, vamos instalar o xplico:
Efetue o download do Xplico no site do projeto em:
Efetue a descompressão do pacote:
sudo tar zxvf xplico-0.5.x.tgz
Baixe o app GeoIp, conforme solicitado no projeto:
sudo wget http://geolite.maxmind.com/download/geoip/api/c/GeoIP-1.4.6.tar.gz
tar zxvf GeoIP-1.4.6.tar.gz
$ cd GeoIP-1.4.6
$ ./configure
$ make
$ cd ..
$ rm -f *.tar.gz
$ cd xplico
$ wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
gzip -d GeoLiteCity.dat.gz
$ rm -f *dat.gz
$ make
$ cd ..
$ wget http://mirror.cs.wisc.edu/pub/mirrors/ghost/GPL/ghostpdl/ghostpdl-8.70.tar.bz2
tar jxvf ghostpdl-8.70.tar.bz2
$ rm -f *.bz2
$ cd ghostpdl-8.70
$ make
$ cd ..
$ cp ghostpdl-8.70/main/obj/pcl6 xplico-0.5.x
$ rm -rf ghostpdl-8.70
$ wget http://downloads.sourceforge.net/project/ucsniff/videosnarf/videosnarf-0.62.tar.gz
wget http://projects.xplico.org/patch/videosnarf_xplico.patch.gz
tar xvzf videosnarf-0.62.tar.gz
$ gunzip videosnarf_xplico.patch.gz
$ cd videosnarf-0.62
$ patch -p1 < ../videosnarf_xplico.patch
$ ./configure
$ make
$ cd ..
$ cp videosnarf-0.62/src/videosnarf xplico-0.5.x
$ Install Xplico
$ cd xplico-0.5.x
$ make install
$ cp /opt/xplico/cfg/apache_xi /etc/apache2/sites-enabled/xplico
Adicione as seguintes linhas no /etc/apache2/ports.conf ou similar, dependendo da configuração de seu Apache:
Altere seu php.ini, caso ele possua apenas upload de pequenas quantidades em MEGAS - /etc/php5/apache2/php.ini.
As linhas são:
Habilite o modo reescrita no Apache:
sudo a2enmod rewrite
Reinicie seu Apache:
sudo /etc/init.d/apache2 restart
Usuário padrão ao instalar:
O objetivo do Xplico é capturar o tráfego da Internet, rede local e seus protocolos.
Por exemplo, a partir de um arquivo capturado pcap, o Xplico pode extrair e-mails (POP, IMAP e SMTP), todo o conteúdo HTTP, cada chamada de VoIP (SIP), FTP, TFTP, e assim por diante.
Xplico não é um analisador de protocolo de rede. Xplico é uma Network Forensic Analysis Tool (NFAT), ou Ferramenta de Análise Forense de Rede.
Xplico é liberado sob a licença GNU - General Public License.
Características
- Protocolos suportados: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6, ...;
- Porta Independente Protocolo de Identificação (PiPi) para cada protocolo de aplicação;
- Multithreading;
- Saída de dados e informações em banco de dados SQLite ou banco de dados MySQL e/ou arquivos;
- TCP ACK remontagem com a verificação de qualquer pacote;
- A consulta reversa do DNS dos pacotes DNS contidas nos arquivos de entradas (CPPE), não do servidor DNS externo;
- Não há limite de tamanho para entrada de dados ou o número de arquivos de entrada (o único limite é o tamanho HD);
- Suporte a IPv4 e IPv6;
- Modularidade. Cada componente Xplico é modular. A interface de entrada, o decodificador do protocolo e a interface de saída (dispatcher) são todos os módulos.
O passo a passo da instalação que consultei e utilizei foi a do próprio site do projeto xplico, em:
Caso não tenha paciência ou somente deseja testar o projeto, baixe as versões com LIVE CD/DVD ou com IMAGENS de Máquinas Virtuais (VM).
Vou compartilhar com vocês essas informações e ocultar passos desnecessários.
A distribuição utilizada foi a Ubuntu 8.10 SERVER, mas você pode utilizar em um Desktop ou Ubuntu 9.10, 10.04, ou até mesmo em qualquer distribuição como Slackware, Red Hat, CentOS.
Abra um terminal e instale as dependências necessárias:
sudo apt-get install tcpdump tshark apache2 php5 php5-sqlite build-essential perl zlib1g-dev libpcap-dev libsqlite3-dev php5-cli libapache2-mod-php5 libx11-dev libxt-dev libxaw7-dev python-all sqlite3 recode sox lame libnet1 libnet1-dev php5-sqlite
Apos concluir o download e instalação das dependências necessárias, vamos instalar o xplico:
Efetue o download do Xplico no site do projeto em:
Efetue a descompressão do pacote:
sudo tar zxvf xplico-0.5.x.tgz
Baixe o app GeoIp, conforme solicitado no projeto:
sudo wget http://geolite.maxmind.com/download/geoip/api/c/GeoIP-1.4.6.tar.gz
tar zxvf GeoIP-1.4.6.tar.gz
$ cd GeoIP-1.4.6
$ ./configure
$ make
$ cd ..
$ rm -f *.tar.gz
$ cd xplico
$ wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
gzip -d GeoLiteCity.dat.gz
$ rm -f *dat.gz
$ make
$ cd ..
$ wget http://mirror.cs.wisc.edu/pub/mirrors/ghost/GPL/ghostpdl/ghostpdl-8.70.tar.bz2
tar jxvf ghostpdl-8.70.tar.bz2
$ rm -f *.bz2
$ cd ghostpdl-8.70
$ make
$ cd ..
$ cp ghostpdl-8.70/main/obj/pcl6 xplico-0.5.x
$ rm -rf ghostpdl-8.70
$ wget http://downloads.sourceforge.net/project/ucsniff/videosnarf/videosnarf-0.62.tar.gz
wget http://projects.xplico.org/patch/videosnarf_xplico.patch.gz
tar xvzf videosnarf-0.62.tar.gz
$ gunzip videosnarf_xplico.patch.gz
$ cd videosnarf-0.62
$ patch -p1 < ../videosnarf_xplico.patch
$ ./configure
$ make
$ cd ..
$ cp videosnarf-0.62/src/videosnarf xplico-0.5.x
$ Install Xplico
$ cd xplico-0.5.x
$ make install
$ cp /opt/xplico/cfg/apache_xi /etc/apache2/sites-enabled/xplico
Adicione as seguintes linhas no /etc/apache2/ports.conf ou similar, dependendo da configuração de seu Apache:
# xplico Host port
NameVirtualHost *:9876
Listen 9876
NameVirtualHost *:9876
Listen 9876
Altere seu php.ini, caso ele possua apenas upload de pequenas quantidades em MEGAS - /etc/php5/apache2/php.ini.
As linhas são:
post_max_size = 100M
upload_max_filesize = 100M
upload_max_filesize = 100M
Habilite o modo reescrita no Apache:
sudo a2enmod rewrite
Reinicie seu Apache:
sudo /etc/init.d/apache2 restart
Usuário padrão ao instalar:
- username: xplico
- password: xplico
Páginas do artigo
1. Introdução2. Instalação do Xplico
3. Uso e telas
4. Extras, dicas, conclusão
Outros artigos deste autor
QRCODE - Código de barras bidimensional
Novo EyeOS - Sistema Operacional de Computação nas Nuvens
Auditoria de computadores com OPEN-AUDIT
IBQUOTA - Gerenciador de Impressão por Usuário
OpenGoo - Seu escritório nas nuvens Online-Ontime-Fulltime
Leitura recomendada
Criando um cluster de alta performance para quebrar senhas
Analisando arquivos de registro (log)
É o hora do churrasco de... exploits! Quê?!? Não! Para churrasco e exploits, use Beef
Comentários
[2] Comentário enviado por ggalmeida em 06/08/2010 - 14:06h
Excelente. Posso monitorar máquinas rodando qualquer SO que estejam inseridas na rede?
Abraço.
Excelente. Posso monitorar máquinas rodando qualquer SO que estejam inseridas na rede?
Abraço.
[3] Comentário enviado por cytron em 06/08/2010 - 23:15h
Tá louco! Ferramentinha violenta, isso disseca a rede mais do que um estudante de medicina disceca um sapo! Só pra testar me conectei a uma rede wireless de um provedor aqui da região, o resultado foi surpriendente. Me senti como se fosse o google (dono do mundo) kkkkkkkkk.
Para trabalhar como segurança ou investigador digital esse Xplico é ideal.
Tá louco! Ferramentinha violenta, isso disseca a rede mais do que um estudante de medicina disceca um sapo! Só pra testar me conectei a uma rede wireless de um provedor aqui da região, o resultado foi surpriendente. Me senti como se fosse o google (dono do mundo) kkkkkkkkk.
Para trabalhar como segurança ou investigador digital esse Xplico é ideal.
[4] Comentário enviado por jem06 em 08/08/2010 - 20:19h
legal cara, muito obrigado. Eu tenho como preceito, respeitar todos estes trabalhos. Se um dia eu conseguir tudo isto. Jamais prejudicarei alguem. Bom trabalho Paulo. Mas reitero o meu comportamento, conhecer é ótimo. JOnny maia.
legal cara, muito obrigado. Eu tenho como preceito, respeitar todos estes trabalhos. Se um dia eu conseguir tudo isto. Jamais prejudicarei alguem. Bom trabalho Paulo. Mas reitero o meu comportamento, conhecer é ótimo. JOnny maia.
[5] Comentário enviado por jem06 em 08/08/2010 - 20:21h
Obrigado Paulo. Tenho por preceito, jamais prejudicar alguem. Mas muito obrigado. Jonny maia
Obrigado Paulo. Tenho por preceito, jamais prejudicar alguem. Mas muito obrigado. Jonny maia
[6] Comentário enviado por paulorvojr em 09/08/2010 - 03:03h
De nada galera, ajudar sempre e compartilhar informações sempre é útil para ambos os lados.
Mesmo uma ferramenta que pode ser usada pro bem ou pro EVIL!! rsrsrs, não se aprende sem praticar .
Abraços.
De nada galera, ajudar sempre e compartilhar informações sempre é útil para ambos os lados.
Mesmo uma ferramenta que pode ser usada pro bem ou pro EVIL!! rsrsrs, não se aprende sem praticar .
Abraços.
[7] Comentário enviado por cpaynes em 12/09/2010 - 13:40h
opa .. blza ???
bom artigo ... pouca coisa eh encontrada nesse sentido ...
eu estou com um problema .. seguinte ..
no momento em que eu vou realizar o make install dentro do diretorio xplico-0.5.8 me da esse erro que segue abaixo...
todas as dependencias estao instaladas .. se vc souber o que pode ser ... agradeco ...
cc -rdynamic -I/opt/xbuild/xplico-0.5.8/system/dema/include -Wall -g -ggdb -fPIC -D_FILE_OFFSET_BITS=64 -DDB_SQLITE2=1 -c -o dbinterface.o dbinterface.c
dbinterface.c:28:25: error: mysql/mysql.h: Arquivo ou diretório não encontrado
dbinterface.c:39: error: expected ‘=’, ‘,’, ‘;’, ‘asm’ or ‘__attribute__’ before ‘*’ token
dbinterface.c: In function ‘DBIntQuery’:
dbinterface.c:53: warning: implicit declaration of function ‘mysql_query’
dbinterface.c:53: error: ‘conn’ undeclared (first use in this function)
dbinterface.c:53: error: (Each undeclared identifier is reported only once
dbinterface.c:53: error: for each function it appears in.)
dbinterface.c:76:6: warning: #warning "to complete"
dbinterface.c: In function ‘DBIntInit’:
dbinterface.c:84: error: ‘MYSQL’ undeclared (first use in this function)
dbinterface.c:84: error: ‘ret’ undeclared (first use in this function)
dbinterface.c:95: error: ‘conn’ undeclared (first use in this function)
dbinterface.c:95: warning: implicit declaration of function ‘mysql_init’
dbinterface.c:96: warning: implicit declaration of function ‘mysql_real_connect’
dbinterface.c: In function ‘DBIntClose’:
dbinterface.c:134: warning: implicit declaration of function ‘mysql_close’
dbinterface.c:134: error: ‘conn’ undeclared (first use in this function)
make[2]: ** [dbinterface.o] Erro 1
make[2]: Saindo do diretório `/opt/xbuild/xplico-0.5.8/system/dema'
make[1]: ** [subdir] Erro 1
make[1]: Saindo do diretório `/opt/xbuild/xplico-0.5.8/system'
make: ** [subdir] Erro 1
opa .. blza ???
bom artigo ... pouca coisa eh encontrada nesse sentido ...
eu estou com um problema .. seguinte ..
no momento em que eu vou realizar o make install dentro do diretorio xplico-0.5.8 me da esse erro que segue abaixo...
todas as dependencias estao instaladas .. se vc souber o que pode ser ... agradeco ...
cc -rdynamic -I/opt/xbuild/xplico-0.5.8/system/dema/include -Wall -g -ggdb -fPIC -D_FILE_OFFSET_BITS=64 -DDB_SQLITE2=1 -c -o dbinterface.o dbinterface.c
dbinterface.c:28:25: error: mysql/mysql.h: Arquivo ou diretório não encontrado
dbinterface.c:39: error: expected ‘=’, ‘,’, ‘;’, ‘asm’ or ‘__attribute__’ before ‘*’ token
dbinterface.c: In function ‘DBIntQuery’:
dbinterface.c:53: warning: implicit declaration of function ‘mysql_query’
dbinterface.c:53: error: ‘conn’ undeclared (first use in this function)
dbinterface.c:53: error: (Each undeclared identifier is reported only once
dbinterface.c:53: error: for each function it appears in.)
dbinterface.c:76:6: warning: #warning "to complete"
dbinterface.c: In function ‘DBIntInit’:
dbinterface.c:84: error: ‘MYSQL’ undeclared (first use in this function)
dbinterface.c:84: error: ‘ret’ undeclared (first use in this function)
dbinterface.c:95: error: ‘conn’ undeclared (first use in this function)
dbinterface.c:95: warning: implicit declaration of function ‘mysql_init’
dbinterface.c:96: warning: implicit declaration of function ‘mysql_real_connect’
dbinterface.c: In function ‘DBIntClose’:
dbinterface.c:134: warning: implicit declaration of function ‘mysql_close’
dbinterface.c:134: error: ‘conn’ undeclared (first use in this function)
make[2]: ** [dbinterface.o] Erro 1
make[2]: Saindo do diretório `/opt/xbuild/xplico-0.5.8/system/dema'
make[1]: ** [subdir] Erro 1
make[1]: Saindo do diretório `/opt/xbuild/xplico-0.5.8/system'
make: ** [subdir] Erro 1
[8] Comentário enviado por paulorvojr em 12/09/2010 - 14:54h
christovam_cps, tudo bom?
Segundo o erro, informa que você não tem mysql instalado ou registrado. Ele precisa de um SGBD, tudo bem so para se logar no mini-painel dele na web, mas ele pede, temos que atender.
abraços
christovam_cps, tudo bom?
Segundo o erro, informa que você não tem mysql instalado ou registrado. Ele precisa de um SGBD, tudo bem so para se logar no mini-painel dele na web, mas ele pede, temos que atender.
abraços
[9] Comentário enviado por cpaynes em 12/09/2010 - 22:00h
opa..
tranquilo aqui..
Mas estranho o seguintee, eu ja possuia o mysql instalado e funcionando com outras ferramentas,
e as dependencias que foi solicitadas instalaram corretamente, ai eu peguei e instalei em outro micro aqui tambem
e funcionou perfeitamente. essa semana eu dou uma olhada com calma o que pdoe ser ..
que no comeco eu ate achei que o mysql.h fosse do xplico ..
mas agradeco o retorno ...
abracos ...
opa..
tranquilo aqui..
Mas estranho o seguintee, eu ja possuia o mysql instalado e funcionando com outras ferramentas,
e as dependencias que foi solicitadas instalaram corretamente, ai eu peguei e instalei em outro micro aqui tambem
e funcionou perfeitamente. essa semana eu dou uma olhada com calma o que pdoe ser ..
que no comeco eu ate achei que o mysql.h fosse do xplico ..
mas agradeco o retorno ...
abracos ...
[10] Comentário enviado por giomagno em 14/04/2012 - 12:26h
e ai beleza, realizei a instalação da nova versão seguindo os procedimentos do próprio site deles, mas quando eu termino de upar os arquivos pcap, não consigo gerar os gráficos será que esqueci algo?
e ai beleza, realizei a instalação da nova versão seguindo os procedimentos do próprio site deles, mas quando eu termino de upar os arquivos pcap, não consigo gerar os gráficos será que esqueci algo?
[11] Comentário enviado por davidt em 09/09/2013 - 16:19h
O comando "Install Xplico", não funciona. Estou usando Ubuntu 12.04.
Erro:
root@jcruzeiro-ProLiant-ML110-G5:/home/jcruzeiro# Install Xplico
No command 'Install' found, did you mean:
Command 'install' from package 'coreutils' (main)
Install: command not found
O comando "Install Xplico", não funciona. Estou usando Ubuntu 12.04.
Erro:
root@jcruzeiro-ProLiant-ML110-G5:/home/jcruzeiro# Install Xplico
No command 'Install' found, did you mean:
Command 'install' from package 'coreutils' (main)
Install: command not found
[12] Comentário enviado por paulorvojr em 10/09/2013 - 00:41h
Davidt, tudo bom?
tenta isso:
sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico
Davidt, tudo bom?
tenta isso:
sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico
[13] Comentário enviado por VandersonDiniz em 18/11/2013 - 00:20h
giomagno, dê uma olhada nisso:
"Dns Graphs
The graphs are made with Open Flash Chart."
http://localhost:9876/users/help
giomagno, dê uma olhada nisso:
"Dns Graphs
The graphs are made with Open Flash Chart."
http://localhost:9876/users/help
[14] Comentário enviado por VandersonDiniz em 18/11/2013 - 00:47h
http://teethgrinder.co.uk/open-flash-chart-2/tutorial.php
http://teethgrinder.co.uk/open-flash-chart-2/tutorial.php
[15] Comentário enviado por paulorvojr em 18/11/2013 - 17:22h
A ideia é excelente galera, mas peca em ser exclusivo em flash.
Hoje em dia utilizo http://www.fusioncharts.com/
funciona em qualquer tablet, seja android ou ios
A ideia é excelente galera, mas peca em ser exclusivo em flash.
Hoje em dia utilizo http://www.fusioncharts.com/
funciona em qualquer tablet, seja android ou ios
Patrocínio
Site hospedado pelo provedor RedeHost.
Destaques
Artigos
IA Turbina o Desktop Linux enquanto distros renovam forças
Como extrair chaves TOTP 2FA a partir de QRCODE (Google Authenticator)
Linux em 2025: Segurança prática para o usuário
Desktop Linux em alta: novos apps, distros e privacidade marcam o sábado
IA chega ao desktop e impulsiona produtividade no mundo Linux
Dicas
Atualizando o Fedora 42 para 43
Como saber se o seu e-mail já teve a senha vazada?
Como descobrir se a sua senha já foi vazada na internet?
Tópicos
Problemas com Driver NVIDIA (5)
Warcraft II Remastered no Linux? (8)
Instalação dualboot Windows 11 e Debian 13 (7)
Top 10 do mês
-
Xerxes
1° lugar - 111.574 pts -
Fábio Berbert de Paula
2° lugar - 86.164 pts -
Alberto Federman Neto.
3° lugar - 26.785 pts -
Mauricio Ferrari
4° lugar - 24.503 pts -
edps
5° lugar - 24.012 pts -
Alessandro de Oliveira Faria (A.K.A. CABELO)
6° lugar - 23.472 pts -
Buckminster
7° lugar - 22.826 pts -
Andre (pinduvoz)
8° lugar - 20.106 pts -
Daniel Lara Souza
9° lugar - 20.128 pts -
Juliao Junior
10° lugar - 16.487 pts
Scripts
A maior comunidade GNU/Linux da América Latina! Artigos, dicas, tutoriais, fórum, scripts e muito mais. Ideal para quem busca auto-ajuda.
Site hospedado por:
