Xplico Network Forensics Tools

Xplico, network analiz yapabilen açık kaynak kodlu adli bilişim aracıdır. Gerçek zamanlı ve daha önceden oluşturulmuş olan dosyaları (pcap files) analiz edebilmektedir. Böylece, network üzerinden gerçekleşmiş yada gerçekleşebilecek olayların izlenmesi ve analizi konusunda çözümler üretmektedir.

Xplico Netmon ve Wireshark gibi araçların açık kaynak kodlu bir alternatifi olarak da düşünebiliriz.

Xplico Özellikleri

Ağ trafiğini anlık olarak izleme (real time monitoring),
Ağ trafiğini analiz etme
Anlık paket yakalama (real time capturing)
Ağ trafiğine ait görsel grafikleri oluşturabilme
VoIP verilerini görüntüleme
PCAP analiz ve korelasyon işlemler
VoIP, MSN, IRC, HTTP, IMAP, POP, SMTP ve FTP protokollerini destekler
IPv4 ve IPv6 protokollerini destekler
Uygulamadan ayrı protocol tanımı yapılabilinmektedir.
Reverse DNS analizi yapabilme,
Veri analizi dosya limitasyonu bulunmamaktadır.
Web base kullanıcı arayüzü bulunmaktadır.

Xplico Mimarisi

Xplico’nun aşağıda belirtilen 3 ayrı modülü bulunmaktadır,

Veri girişini analiz etmek için bir giriş modülü (problardan veya paket dinleyicisinden gelen)

Kodu çözülen verileri düzenlemek ve bunları son kullanıcıya sunmak için bir çıkış modülü

Ayrı ağ protokolünün kodunu çözmek için protokol ayrıştırıcı olarak adlandırılan bir kod çözme modülü seti.

Çıkış modülü ile Xplico farklı kullanıcı arayüzlerine sahip olabilir, aslında komut satırından ve “Xplico Arayüzü” adı verilen bir web kullanıcı arayüzünden kullanılabilir. Protokol disektörü, bireysel protokolün kodunu çözmek için modüllerdir, her protokol disektörü, protokolün verilerini yeniden yapılandırabilir ve çıkarabilir.

Tüm modüller eklentidir ve yapılandırma dosyası aracılığıyla program yürütülürken yüklenebilir. Bu, kod çözmenin odaklanmasına izin verir, yani Web trafiği yerine, yalnızca VoIP çağrılarının kodunu çözmek istiyorsanız, Xplico’yu HTTP modülü hariç RTP ve SIP modüllerini yükleyecek şekilde yapılandırabilirsiniz. Özetle sadece ihtiyaç duyduğunuz modülü yükleme yeteneğine sahipsiniz.

Büyük Ölçekli Pcap Veri Analizi

Xplico’nun başka bir özelliği, çok miktarda veri işleme (yeniden yapılandırma) yeteneğinin bulunmasıdır. Birden fazla, gigabayt ve hatta terabayt boyutlarına sahip pcap dosyalarını aynı anda birden fazla yakalama probundan yönetebilir. Bunun nedeni, çeşitli “giriş modülleri” nin kullanılmasıdır. Pcap dosyaları doğrudan Xplico Web kullanıcı arabiriminden, SFTP ile veya IP üzerinden PCAP adı verilen bir iletim kanalıyla birçok şekilde yüklenebilir.

Bu özellikler sayesinde Xplico Yasa müdahalesi bağlamında (Lawful interception) ve Ağ Adli Tıp (Network Forensics) alanında kullanılmaktadır.

VoIP aramaları

Xplico ve ayrıca pcap2wav adı verilen özel sürümü, RTP protokolüne (SIP, H323, MGCP, SKINNY) dayalı VoIP çağrılarını deşifre edebilir ve G711ulaw, G711alaw, G722, G729, G723, G726 ve MSRTA ( Microsoft’un Gerçek Zamanlı Sesi).

Xplico Bileşenleri

Xplico Sistemi 4 makro bileşenden oluşur:

DeMa adında bir Kod Çözücü Yöneticisi
Xplico adlı bir IP kod çözücü
Bir dizi veri manipülatörü
Çıkarılan verileri görüntülemek için bir görüntüleme sistemi

Xplico Sisteminde Kullanılan Diller

Xplico sisteminde aşağıdaki 4 dil kullanılmıştır.

C
Piton
PHP
JavaScript

Xplico Lisans

IP kod çözücü olarak Xplico , GNU Genel Kamu Lisansı altında lisanslanmıştır.

DeMa , GNU Genel Kamu Lisansı kapsamında lisanslanmıştır.

Msite , mpaltalk , mfbc , mfile ve mwmail manipülatörleri GNU Genel Kamu Lisansı altında lisanslanmıştır.

Mimedump.pyc , session_mng.pyc , wbm_aol_v2.pyc , wbm_gmail.pyc , wbm_yahoo_android.pyc ve wbm_yahoo_v2.pyc , Creative Commons lisansı altında lisanslanmıştır: CC BY-NC-SA 3.

Xplico Arayüzü ( XI ), aşağıdaki üç ücretsiz yazılım / açık kaynak lisans koşulu setinden birini seçmenizi sağlayan, ayrık bir üç lisans altında lisanslanmıştır:

Mozilla Public License, sürüm 1.1 veya üzeri

GNU Genel Kamu Lisansı, sürüm 2.0 veya üzeri

GNU Küçük Genel Kamu Lisansı, sürüm 2.1 veya üzeri