一、Xplico功能的簡介
Xplico是一個從pcap文件中解析出IP流量數據的工具,可解析每個郵箱 (POP, IMAP, 和 SMTP 協議), 所有 HTTP 內容, VoIP calls (SIP) ,FTP,TFTP等等。
二、Xplico的安裝過程
- 安裝Ubuntu10.10操作系統
配置Ubuntu使電腦能夠正常的上網,使用Firefox能夠正常的打開網頁
- 從xplico的官網上下載Ubuntu的安裝文件
- 使用Ubuntu software center打開xplico的安裝文件
- 系統自動搜索並下載相關的軟件
- 等待安裝完成
- 通過Firefox浏覽器浏覽http://127.0.0.0:9876 ,如果能打開xplico的 web interface
則證明安裝成功,Xplico使用9876號端口。
三、Xplico的使用
1.Web interface
web界面
通過web界面來創建新的case,導入capture文件,完成數據的decode,並顯示對應的結果。
首先,我們使用默認用戶xplico來登錄web界面。
創建新的case
一個case包含一個或者多個session,然後選擇一個case進入session中,
每個session包含了,其實和結束的時間。
點擊“New Session”來創建一個新的session,一個session通過session的name來區分
如圖所示一個case可以有多個session。
上傳capture文件。將抓包文件進行上傳,然後decode。
一個session可以上傳一個pcap文件,也可以上傳多個pcap文件,通過pcap set單元來完成上傳的操作。
通過點擊“List”我們可以看到上傳的pcap文件
In ”
Session Data” we report the name of
case and the
session, the time of start and end of data entered.
在“session data”中我們可以看到case和session的名字,還有數據開始和結束的時間
還有,decode的是否完成。
在“session data”你同樣可以選擇源主機,從一個特點主機來的數據。
實時的抓包分析
如果你創建了一個“Live capture case”然後你可以選擇網絡接口和開始停止一個實時的數據分析。
郵件
Email 頁面顯示所有收到和發送的郵件
能夠顯示
對應的時間,郵件的主題,發件人,收件人,郵件的大小。
選擇一個封郵件,可以看到郵件的具體內容。
Web
Entering in Web menù we can view all HTTP contents of the session. We can select or serarch a content.
可以看到具體的網頁的html的代碼。
也可以通過xplico來還原訪問的網頁。
