0.概述

Xplico功能不仅是一个网络协议分析工具，还是一个开源的网络取证分析工具(NFAT)。网络取证分析工具是一个科学的捕捉，记录和检测入侵并进行调查的网络流量分析处理系统。Xplico主要作用是从捕获网络应用层数据并显示出来，这指的是通过捕获Internet网络流量来提取各种网络应用中所包含的数据,并从中分析出各种不同的网络应用。例如Xplico可以实时解析通过网关的流量,也可以pcap文件中解析出IP流量数据,并解析每个邮箱(包括POP、IMAP和SMTP协议),解析HTTP内容，以及VOIP应用等。

注意：在后面设置中Xplico Web界面中的Menu→Dissectors能看到它所支持的应用层协议。

1.系统架构

XPlico系统由4个部分构成，分别是:

解码控制器

IP/网络解码器(Xplico)

程序集来处理解码数据(ManiPulators)

可视化系统(用来查看结果)

解码器Xplico是整个系统的核心组件,它的特点是高度模块化,可扩展性和可配置性。它的主要工作过程是通过数据抓取模块(cap_dissector)抓取网络中的数据包,然后将数据包输入到各个解析组件(Dissectors)中,得出的解析结果通过分发组件(Dispatcher)存储到数据库中,最后再显示出来。其过程如图1所示。

　　图1 Xplico原理图

从图1可以看出，Xplico对协议的分析过程采取自顶向下的流程,首先Xplico捕获到网络数据包,然后根据包中的不同字段，区分出不同的协议,分成TCP、UDP等协议进行分析,其中对TCP协议和UDP协议再根据不同的端口号和应用层协议的特征进一步细分，使用不同的解析器对报文进行分析和处理，最后得出结论并保存结果。

2. Xplico的数据获取方法

在Xplico底层使用Libpcap来抓取数据包，它是一个专门用来捕获网络数据的编程接口。它在很多网络安全领域得到了广泛的应用,很多著名的网络安全系统都是基于LibPcap而开发的，如著名的网络数据包捕获和分析工具Tcpdump，网络入侵检测系统snort也是使用Libpcap来实现的。Libpcap几乎成了网络数据包捕获的标准接口。Libpcap中使用了BPF(BSD Packet Filter)过滤机制,这部分是基于内核的过滤模块，它使Libpcap具有捕获特定数据包的功能，可以过滤掉网络上不需要的数据包,而只捕获用户感兴趣的数据包。使用Libpcap可以把从网络上捕获到的数据包存储到一个文件中,还可以把数据包信息从文件中读出,读出的结果与从网络上捕获数据包的结果是一样的。,

3.Xplico部署

Xplico目前最新版本为Xplico version 1.1.2(本文实验采用版本为1.1.0)，其自身的运行需要其他一些软件的支撑例如Apache、Sqlite、tcpdump、tshark等。在安装部署前，首先要准备好，这里以选用Ubuntu 系统。

环境：基础平台OS采用Ubuntu Linux 13.10，安装方法如下：

$sudo apt-get update

$sudo apt-get install xplico

注意：需要修改apache端口监听文件/etc/apache2/ports.conf,添加以下内容

NameVirtualHost *:9876

Listen 9876

此外还有一种方法可以使用集成工具箱DEFT 8.2 Live，用此光盘启动系统后，进入控制台首先启动apache服务器，然后启动xplico服务(顺序反了不能成功)最后启动Xplico的Web界面。

4.应用Xplico

启动Xplico准备工作，首先启动Xplico之前现在交换机端口上做好SPAN然后启动Xplico。

步骤①：启动命令：

#/opt/xplico/script/sqlite_demo.sh

Web登录方法

浏览器输入地址http://ip:9876

登录页面比较简洁,只要输入用户名和密码就可以,在这里,我们可以使用默认的用户名和密码登录XPlico系统"登录系统后,可以看到创建和显示实例的界面。在这个显示页面中,可以看到实例和会话的名称标识、分析开始和结束的时间、pcap文件上传选项、各个应用的分析结果等信息。

至此，Xplico系统使用之前的初始化设置完成了。现在我们选择的是“pcap文件分析模式”，所以我们就可以将Pcap文件提交到xPlico系统,查看和验证其分析结果"这里选取web应用和本地客户端收发邮件这两个例子进行介绍，Xplico的原始系统还支持DNS、FTP等应用的分析.

Xplico中的功能简化归类为四个方面,分别是网站访问、收发邮件、文件共享和即时通讯(MSN、IRC)其中收发邮件包含了POP3/SMTP收发邮件和网页收发邮件。

步骤②：管理员登录

默认使用以下用户名和密码登录系统。

用户名：admin

密码：xplico

登录成功后如图2所示。

　　图2 Xplico控制面板

在控制台右侧菜单栏Dissectors上我们能够轻松查看解析组件的分类,如图3所示。

　　图3 xplico支持的组件

当我们监控时需要调整为xplico用户名,xplico密码登录系统，首先在Case新建一个实例如图4所示，然后启动监听，xplico监控主界面如图6所示。

　　图4 新建监控实例

选择start按钮开始实时监测,如图5所示。

　　图5 开始监测

效果如图6所示。

　　图6配置Xplico监听

在监听http应用层协议，来自哪个IP，用户浏览了什么样的网页信息都能一览无余显示出来，先看看客户端浏览网页时被还原的图片，如图7所示。

　　图7 Web应用层数据包解码

注意：Skype正越来越普及,并受到越来越多的关注，可是skype通讯软件内部使用了AES分组密码和RC4密钥流生成的RSA公钥密码系统，使得它的保密性非常强大，以至于无法被嗅探软件捕获并正确分析，自2012年微软收购了skype后对其内部架构进行了调整，使得第三方程序也能对视频的聊天内容进行监听和存储。微软的Lync Server通信件就是基于SIP协议。如图8所示。

　　图 8 捕获SIP协议通讯

　　图 9捕捉到ftp账号

图9中展示的是从一台计算机连接到一台FTP服务器的服务请求，以及通过XPlico嗅探所传输的数据包。采用网络分析器获得用户名与密码是非常容易的事情(从数据包的内容可以很直接地知道用户名。图10展示了Facebook、MSN及IRC等聊天工具统统都在XPlico监控范围之内，但惟独Skype是个例外。

　　图10捉MSN信息

在图11示了用Xplico截获两台主机(192.168.150.117和192.168.150.203之间的通讯)的syslog日志通讯内容。

　　图11获的syslog日志信息

5.深入分析Xplico

由Xplico捕捉的数据包默认存储位置：/opt/xplico/pol_1/sol_1/raw/目录，当程序启动产生pol_1和pol_2两个目录用于承载数据，所以保证/opt分区为独立分区并且空间足够大。在/opt/xplico/pol_1/sol_1/目录下每个协议生成一个目录，其内容是捕获的数据，如图12。

　　图 12 xplico分类

例如查看详细FTP协议情况，FTP数据会放在./ftp目录下;在Msn目录下则是嗅探得到的用户对话记录，以此类推。Xplico所存储的重要数据放在/opt/xplico/xplico.db数据库文件中，这是sqlite3文件格式，包含了表视图等信息，但这些信息需要sqlite3的命令才能打开，而非普通的文本。可到http://sqlite.org/download.html下载工具如sqlitebrowser查看。

注意：Berkeley DB是Unix/Linux平台下的高性能的嵌入式数据库系统，这款开源软件比SQL Server、Oracle系统更为简单所以性能很高，常用在实时数据库领域，比如在LDAP服务的后台数据库，另一款开源数据库就是用在xplico下的SQLite, SQLite是一款极其紧凑的可嵌入的数据库，一款能处理巨大数据量的数据库,有关它的详细信息，大家参考《SQLite权威指南》。

　　图13 SQLite浏览Xlico数据库表结构

　　图14 查看表内容

本章是实验中的1.1.0版本的xplico 在/opt/xplico/bin/modules下有65个模块，如图15所示。

　　图15 支持的组件

当前，大量非关键业务流量协议可以自主变换端口，甚至伪装自己为其他端口流量，如 QQ、BitTorrent、eMule 等。使用 Iptables 传统的匹配选项没有办法识别出这些流量。因此，Iptables 提供了良好的扩展接口以实现更强大的功能，网络流量管理系统可在此基础上，开发能够识别数据包第七层数据内容的分类器。

6.综合应用

用Google Earth监控IRC的通讯IP地址方位，IRC是互联网上经典的通讯工具它采用C/S架构。如图16所示开始抓IRC的通讯协议数据包，发现有两个以被捕获。然后就有Xplico对这种应用进行分析。在图中它正在吧捕捉到的irc.pcap上传到系统进行分析，很快就能得到IP对应的地理信息位置信息。

　　图16 捕获2个IRC协议数据包

　　图17 保存kml信息

步骤①：上传捕获到的irc_1.pcap数据包文件，将geomap生成的irc_1pcap.kml文件保存下来。这是个Google Earth能够识别的文件里面有IP的经度纬度的数值。如图17所示。

步骤②：用Google Earth打开KML文件即可看到效果，如图18所示。图中由一条绿线连接两台计算机节点。

　　图18 用谷歌地球软件打开KML效果

http://geolite.maxmind.com/download/geoip/database/

由Xplico系统将抓包获得的irc_1.pcap数据包文件提炼出Kml文件，导入到谷歌地球客户端，通过在kml文件中寻找坐标并定位出线路的过程。这里的KML全称是Keyhole Markup Language，是一个基于XML语法和格式的文件，主要用来描述地理信息的点，线等信息在其中包含了每个点的经度(Longitude)和纬度(Latitude)甚至是高度(Altitude)。

注意：GeoIP就是通过来访者的IP，定位它的经纬度、国家/地区、省市甚至街道等位置信息。这里面的技术不算难题，关键在于有个精准的数据库。但是免费提供的maxmind数据库不准，至少国内的IP定位不太精准，但收费服务的效果要比免费的强许多，大家可以到Maxmind网站(www.maxmind.com )查阅相关信息。

从前面的介绍我们可以看到，Xplico系统具备了上网行为审计和分析功能，包括对HTTP协议、SMTP、POP3和FTP协议的支持,并且己经可以推广运用到实际环境中。另外对XPlico系统进行了改进和优化后,新的系统还增加了对国内主流邮箱的WebMail协议的支持,并且添加了对即时通讯软件协议的支持,使其功能更加完善。由于目前Xplico所支持的协议尚无法完全满足市场的需求，这也是Xplico重点改进的地方。

本文转自d1net（转载）