ALUMNO : PERCY ANGEL MAMANI CORNEJO

CODIGO : 0620063








ANALIZAR EL TRFICO CAPTURADO XPLICO
XPLICO es mucho ms flexible ya que nos permite analizar trama a trama todo el time line del
trfico y nos ofrece una infinidad de opciones y filtros muy potentes; pero a no ser que tengamos
una gran destreza usndolos se convierte en un handicap (que muchos intentamos solucionar
buscando por google.com) ms que en una ayuda.
ESQUEMA DE UN ANALISIS DETRAFICO EN UNA RED

XPLICO:
El objetivo de Xplico es el anlisis de una captura de trfico de Internet los datos de aplicaciones
en l contenidos.
Por ejemplo, a partir de un archivo pcap Xplico extrae cada correo electrnico (POP, IMAP y
SMTP), todo el contenido HTTP, cada llamada VoIP (SIP), FTP, TFTP, y as sucesivamente. Xplico no
es un analizador de protocolos de red. Xplico es un anlisis forense de red fuente herramienta
abierta (NFAT).
Xplico se distribuye bajo la Licencia Pblica General de GNU, y con algunas secuencias de
comandos bajo Creative Commons Reconocimiento-No comercial-Compartir Igual 3.0 (CC BY-NC-
SA 3.0) Licencia. Para ms detalles vea la licencia.
Sistema Xplico se compone de 4 macro-componentes:

u
n Gestor Decoder llama DeMa
un decodificador IP llamado Xplico (su estado es aqu)
un conjunto de manipuladores de datos
un sistema de visualizacin para ver los datos extrados
Lenguajes usadas en el Sistema Xplico
C
Pitn
PHP
JavaScript



LICENCIA
Xplico como decodificador IP est licenciado bajo la Licencia Pblica General de GNU (vase la
licencia para ms detalles).
DeMa est licenciado bajo la Licencia Pblica General de GNU (vase la licencia para ms detalles).
Los manipuladores msite, mpaltalk, mfbc, MFILE y mwmail estn licenciados bajo la Licencia
Pblica General de GNU (vase la licencia para ms detalles).
mimedump.pyc, session_mng.pyc, wbm_aol_v2.pyc, wbm_gmail.pyc, wbm_yahoo_android.pyc y
wbm_yahoo_v2.pyc estn licenciados bajo la licencia Creative Commons: CC BY-NC-SA 3.0 (ver
Licencia para ms detalles).
Xplico Interface (XI) es bajo licencia de tri-licencia disyuntiva que le da la eleccin de uno de los
tres siguientes conjuntos de trminos de licencia de software / cdigo abierto gratuitos:
Mozilla Public License, versin 1.1 o posterior
Licencia pblica GNU, versin 2.0 o posterior
GNU Lesser General Public License, versin 2.1 o posterior

REQUISITOS PARA INA INSTALACION DE LA HERRAMIENTA:
Xplico version
Fedora 19, 18, 17, 16, 15, 14, 13:
Download RPMs here.
Ubuntu 32/64bit from 13.10 to 11.04:
sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico


Virtual
Box Image:
Download OVA here.
Based on Free VirtualBox Image.
user: ubuntu
password: reverse
Source code:
Download here.
Installation instructions are in the INSTALL file and in the Wiki.
Ubuntu 12.10 32bit:
Download here.
Ubuntu Server 12.10 64bit:
Download here.

Deafult Users
user: admin, xplico
password: xplico, xplico

TIPO DE CAPTURA
Para hacer la prueba he usado una captura de trfico en vivo, esto es, he arrancado Xplico y he
capturado en tiempo real el interfaz de red que tiene conexin a internet. En el mismo porttil
donde corra Xplico me he puesto a navegar y a logearme en distintas webs para generar trfico y
cuando he tenido una pequea muestra representativa he parado la captura.
Xplico es capaz de capturar en tiempo real el trfico, o por el contrario procesar una captura en
formato .pcap.


INSTALAR XPLICO
Xplico se puede instalar en diversas maquinas GNU/Linux. Durante las pruebas he probado a
instalarlo tanto en una Mquina Virtual con Ubuntu 13.04 32-bits como en Kali Linux, siendo en
este ltimo donde me ha acabado funcionado (en Kali me ha funcionado en el momento
inmediato de instalarlo, luego he reiniciado y para que volviera a funcionar lo he tenido que
reinstalar xD).
Kali Linux
Como no me ha terminado de funcionar en Ubuntu he decidido instalarlo en Kali mediante los
siguinetes comandos:
Comandos opcionales; para asegurarnos que las dependencias estn instaladas

1
apt-get install tcpdump tshark apache2 php5 php5-sqlite build-essential perl zlib1g-dev libpcap-dev libsqlite3-dev
php5-cli libapache2-mod-php5 libx11-dev libxt-dev libxaw7-dev python-all sqlite3 recode sox lame libnet1 libnet1-
dev libmysqlclient15-dev
Comandos para instalar en Kali Linux

1
2
3
apt-get install xplico
/etc/init.d/apache2 restart
/etc/init.d/xplico start

ANALIZANDO EL TRFICO
Arrancando la herramienta
Accedemos a la herramienta tenemos que irnos al navegador y escribir: 127.0.1.1:9876 (IP
127.0.1.1 con puerto 9876).
Nos aparecer una pgina de login en la que tendremos que ingresar con las credenciales:


Usuario: xplico
Password: xplico

Despus de loguearnos nos aparecer una Panel con los Casos existentes.


Cada Caso se puede entender como un proyecto diferente. Un ejemplo sera englobar todas las
capturas wifi que hagamos en una tarde en el mismo Caso ya que todas han sido capturadas en el

mism
o espacio de tiempo (y posiblemente tenga relaccin unas con otras).

Dentro de un caso hay diferentes Sesiones, por lo que cada Sesion es una subdivisin de un Caso.
Si volvemos al ejemplo anterior en el que todas las capturas de una tarde han sido englobadas
en un Caso; cada una de las pequeas capturas que conforman la tarde entera, ser una sesin.

Cuando creemos un caso nos dar a elegir entre obtener los datos por captura en vivo
(Adquisicin de vivir; la traduccin es muy mala xD) o por el contrario, analizar los datos
mediante un fichero .pcap que le demos.



ANALIZANDO
Una vez recogido y procesado cierto trfico la herramienta nos ofrecer bastantes formas de
visualizacin de la informacin.











En la Pestaa Web -> Site podemos ver todos los componentes que conforman la web ordenados
por formatos.


Dentr
o de la Pestaa WEB -> Images podemos ver todas las imgenes descargadas, no solo con sus
nombres, sino en formato imgen. Este apartado es muy interesante porque de un vistazo nos
podemos hacer una idea de por donde ha estado navegando el usuario.

En la Pestaa MAIL se mostrar informacin sobre emails enviados o recibidos as como de
webmail. Sin embargo, como la mayora de webmails en la actualidad tienen https, una capa de
cifrado que impide el anlisis de trfico por este mtodo, es muy probable que no captemos nada
en esta seccin.
En las siguientes Pestaas podemos encontrar un poco de todo; Voip, diferentes protocolos de
chat, conexiones ftp, Sin embargo vuelvo a remarcar el tema del cifrado; la mayora de los
servicios que disfrutamos de mensajera, Voip, etc suelen llevar una capa cifrada que impide el
anlisis del trfico de este tipo.
En la ltima Pestaa UNDECODED -> TCP-UDP se expone las tramas que no han sido posible
determinar que son. La mayora de ellas corresponden a trfico del puerto 443 (HTTPS) que como
antes he comentado, no podemos analizar.


XPLCO 2014