Xplico Network Forensics Tools

Xplico, network  analiz yapabilen açık kaynak kodlu adli bilişim aracıdır. Gerçek zamanlı ve daha önceden oluşturulmuş olan dosyaları (pcap files) analiz edebilmektedir. Böylece, network üzerinden gerçekleşmiş yada gerçekleşebilecek olayların izlenmesi ve analizi konusunda çözümler üretmektedir.

Xplico Netmon ve Wireshark gibi araçların açık kaynak kodlu bir alternatifi olarak da düşünebiliriz.

Xplico Özellikleri

  • Ağ trafiğini anlık olarak izleme (real time monitoring),
  • Ağ trafiğini analiz etme
  • Anlık paket yakalama (real time capturing)
  • Ağ trafiğine ait görsel grafikleri oluşturabilme
  • VoIP verilerini görüntüleme
  • PCAP analiz ve korelasyon işlemler
  • VoIP, MSN, IRC, HTTP, IMAP, POP, SMTP ve FTP protokollerini destekler
  • IPv4 ve IPv6  protokollerini destekler
  • Uygulamadan ayrı protocol tanımı yapılabilinmektedir.
  • Reverse DNS analizi yapabilme,
  • Veri analizi dosya limitasyonu bulunmamaktadır.
  • Web base kullanıcı arayüzü bulunmaktadır.

Xplico Mimarisi

Xplico’nun aşağıda belirtilen 3 ayrı modülü bulunmaktadır,

Veri girişini analiz etmek için bir giriş modülü (problardan veya paket dinleyicisinden gelen)

Kodu çözülen verileri düzenlemek ve bunları son kullanıcıya sunmak için bir çıkış modülü

Ayrı ağ protokolünün kodunu çözmek için protokol ayrıştırıcı olarak adlandırılan bir kod çözme modülü seti.

Çıkış modülü ile Xplico farklı kullanıcı arayüzlerine sahip olabilir, aslında komut satırından ve “Xplico Arayüzü” adı verilen bir web kullanıcı arayüzünden kullanılabilir. Protokol disektörü, bireysel protokolün kodunu çözmek için modüllerdir, her protokol disektörü, protokolün verilerini yeniden yapılandırabilir ve çıkarabilir.

Tüm modüller eklentidir ve yapılandırma dosyası aracılığıyla program yürütülürken yüklenebilir. Bu, kod çözmenin odaklanmasına izin verir, yani Web trafiği yerine, yalnızca VoIP çağrılarının kodunu çözmek istiyorsanız, Xplico’yu HTTP modülü hariç RTP ve SIP modüllerini yükleyecek şekilde yapılandırabilirsiniz. Özetle sadece ihtiyaç duyduğunuz modülü yükleme yeteneğine sahipsiniz.

Büyük Ölçekli Pcap Veri Analizi

Xplico’nun başka bir özelliği, çok miktarda veri işleme (yeniden yapılandırma) yeteneğinin bulunmasıdır. Birden fazla, gigabayt ve hatta terabayt boyutlarına sahip pcap dosyalarını aynı anda birden fazla yakalama probundan yönetebilir. Bunun nedeni, çeşitli “giriş modülleri” nin kullanılmasıdır. Pcap dosyaları doğrudan Xplico Web kullanıcı arabiriminden, SFTP ile veya IP üzerinden PCAP adı verilen bir iletim kanalıyla birçok şekilde yüklenebilir.

Bu özellikler sayesinde Xplico Yasa müdahalesi bağlamında (Lawful interception) ve Ağ Adli Tıp (Network Forensics) alanında kullanılmaktadır.

VoIP aramaları

Xplico ve ayrıca pcap2wav adı verilen özel sürümü, RTP protokolüne (SIP, H323, MGCP, SKINNY) dayalı VoIP çağrılarını deşifre edebilir ve G711ulaw, G711alaw, G722, G729, G723, G726 ve MSRTA ( Microsoft’un Gerçek Zamanlı Sesi).

Xplico Bileşenleri

Xplico Sistemi 4 makro bileşenden oluşur:

  • DeMa adında bir Kod Çözücü Yöneticisi
  • Xplico adlı bir IP kod çözücü
  • Bir dizi veri manipülatörü
  • Çıkarılan verileri görüntülemek için bir görüntüleme sistemi

Xplico Sisteminde Kullanılan Diller

Xplico sisteminde aşağıdaki 4 dil kullanılmıştır.

  • C
  • Piton
  • PHP
  • JavaScript

Xplico Lisans

IP kod çözücü olarak Xplico , GNU Genel Kamu Lisansı altında lisanslanmıştır.

DeMa , GNU Genel Kamu Lisansı kapsamında lisanslanmıştır.

Msite , mpaltalk , mfbc ,  mfile ve mwmail manipülatörleri GNU Genel Kamu Lisansı altında lisanslanmıştır.

Mimedump.pyc , session_mng.pyc , wbm_aol_v2.pyc , wbm_gmail.pyc , wbm_yahoo_android.pyc ve wbm_yahoo_v2.pyc , Creative Commons lisansı altında lisanslanmıştır: CC BY-NC-SA 3.

Xplico Arayüzü ( XI ), aşağıdaki üç ücretsiz yazılım / açık kaynak lisans koşulu setinden birini seçmenizi sağlayan, ayrık bir üç lisans altında lisanslanmıştır:

Mozilla Public License, sürüm 1.1 veya üzeri

GNU Genel Kamu Lisansı, sürüm 2.0 veya üzeri

GNU Küçük Genel Kamu Lisansı, sürüm 2.1 veya üzeri

Xplico Versiyonları

Stabil sürüm: 1.2.2

Geliştirme sürümü: 1.3.0

Xplico 1.2.2

ChangeLog:

  • Migration from GeoIP to GeoIP2
  • nDPI updated
  • CakePHP 2.10.17
  • Bugfix

Xplico 1.2.0

ChangeLog:

  • Migration from PHP5 to PHP7
  • CakePHP 2.8
  • nDPI updated
  • IMAP bug fix
  • Bugfix: reported on Security Onion

Xplico 1.1.1

ChangeLog:

  • nDPI updated
  • MGCP dissector
  • IMAP bug fixed
  • WhatsApp dissector (it collects only one/two info)
  • bug fixed
  •  

Xplico 1.1

  • Performance improved
  • nDPI updated
  • IRC bug fixed
  • HTTP bug fixed
  • VoIP (SIP, RTP) bug fixed
  • FTP bug fixed
  • changed the FaceBook DB tables
  • Null/Loopback dissector
  • Cisco HDLC dissector
  • Libero.it and RossoAlice WebMail decoding
  • Yahoo messenger, Web and Mobile (Beta version)
  • Dig using file signatures (for unknown flows)

Xplico 1.0.1

ChangeLog:

  • nDPI integration
  • performace improved
  • FTP dissector improved
  • Added the prism dissector
  • CLI execution bug fixed
  • PCAP-over-IP SSL encryption
  • IRC dissector improved
  • File reconstruction from Fragmented Payloads improved
  • FaceBook Chat updated
  • FaceBook Message (partial)
  • HTTP without initial packets (packets lost)
  • RTP dissector improved
  • PCAP2WAV, RTP2WAV interface added

Xplico Protokol Dissektörleri

Xplico Kurulumu, Konfigürasyonu ve Testleri

Kali Linux – terminal açılır ve “apt-get update” ile Kali Linux update edilir.

Terminal de “apt -get install Xplico”  ile kurulum yapılır.

Yes ile devam edilir.

System Services – Xplico –  Xplico Start” ile servisi çalıştırıyoruz.

Terminal ekranına xplico yazarak parametleri görüntülenir.

Web tarayacimiza, “localhost:9876” yazarak xplico’ya erişilir.

Dil olarak Türkçe seçiyorum.

Kullanıcı adı: xplico

Parola: xplico

Xplico arayüzü açılır.

Yeni vaka seçilir.

Canlı Satınalma yı seçerek, Kılıf adı tanımı yapılır.

Volsys1 adında yeni bir oturum oluşturulur.

Gelen menüden Volsys1 seçilir.

1.1.1.5 ip’li PC’den 80 nolu port üzerinden erişim sağlanmıştır. Xplico’da,

1.1.1.1 IP’li makina dan ICMP paketleri gönderlmektedir.


1.1.1.1 IP’li makina dan telnet dns isteğinde bulunmuştur.


Sonuç olarak yapılan istekler Xplico’da aşağıdaki görülmektedir.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: