一、Xplico功能的簡介
Xplico是一個從pcap檔案中解析出IP流量資料的工具,可解析每個郵箱 (POP, IMAP, 和 SMTP 協議), 所有 HTTP 內容, VoIP calls (SIP) ,FTP,TFTP等等。
二、Xplico的安裝過程
- 安裝Ubuntu10.10作業系統
配置Ubuntu使電腦能夠正常的上網,使用Firefox能夠正常的開啟網頁
- 從xplico的官網上下載Ubuntu的安裝檔案
- 使用Ubuntu software center開啟xplico的安裝檔案
- 系統自動搜尋並下載相關的軟體
- 等待安裝完成
- 通過Firefox瀏覽器瀏覽http://127.0.0.0:9876 ,如果能開啟xplico的 web interface
則證明安裝成功,Xplico使用9876號連接埠。
三、Xplico的使用
1.Web interface
web介面
通過web介面來建立新的case,匯入capture檔案,完成資料的decode,並顯示對應的結果。
首先,我們使用預設使用者xplico來登入web介面。
建立新的case
一個case包含一個或者多個session,然後選擇一個case進入session中,
每個session包含了,其實和結束的時間。
點擊“New Session”來建立一個新的session,一個session通過session的name來區分
一個case可以有多個session。
上傳capture檔案。將抓包檔案進行上傳,然後decode。
一個session可以上傳一個pcap檔案,也可以上傳多個pcap檔案,通過pcap set單元來完成上傳的操作。
通過點擊“List”我們可以看到上傳的pcap檔案
In ”
Session Data” we report the name of
case and the
session, the time of start and end of data entered.
在“session data”中我們可以看到case和session的名字,還有資料開始和結束的時間
還有,decode的是否完成。
在“session data”你同樣可以選擇源主機,從一個特點主機來的資料。
即時的抓包分析
如果你建立了一個“Live capture case”然後你可以選擇網路介面和開始停止一個即時的資料分析。
郵件
Email 頁面顯示所有收到和發送的郵件
能夠顯示
對應的時間,郵件的主題,寄件者,收件者,郵件的大小。
選擇一個封郵件,可以看到郵件的具體內容。
WebEntering in Web menù we can view all HTTP contents of the session. We can select or serarch a content.
可以看到具體的網頁的html的代碼。
也可以通過xplico來還原訪問的網頁。
