实验链接
Xplico是一款开源的网络取证分析工具,其分析与呈现的能力非常强大。Xplico可以捕获Internet网络应用层流量,通过流量解析,解析出网络包中的各种应用数据,还原网络数据发送现场。通过本实验学习掌握Xplico使用方法,学会利用Xplico对网络流量进行分析取证。
链接:http://www.hetianlab.com/expc.do?ce=10748f62-5706-403d-bf77-7bfa96766ecc
实验简介
实验所属系列: 数据安全
实验对象: 本科/专科信息安全专业
相关课程及专业: 计算机网络
实验类别: 实践实验类
预备知识
-
关于xplico
xplico可以从pcap包中还原出每一封邮件(POP,IMAP,SMTP协议),所有的http内容等等.Xplico并不是协议分析工具,而是网络取证工具。
-
xplico系统构成
一个解码管理器叫做DeMa
一个IP解码器叫做Xplico
一组主要应用解码器(HTTP解码器,SMTP解码器等)
一个结果输出界面
实验目的
通过该实验了解Xplico的使用方法,能够通过分析还原网络数据发送现场,能够分析多种协议以及熟练掌握xplico进阶使用方法。
实验环境
服务器:kali,IP地址:随机分配
辅助工具:xplico
测试脚本请在实验机内下载:http://tools.hetianlab.com/tools/T027.zip
实验步骤
步骤一
一直以来,大多数人都是使用wireshark进行流量分析、取证等,流量分析当然是wireshark更好,至于流量取证,其实更适合用xplico。
安装xplico(已装)
使用之前需要启动apache2服务和xplico服务:
此时浏览器输入ip:9876/users/login即可:
用户名和密码都是xplico,登录后的页面如图:
实验文件夹中准备了几个数据包,接下来分别进行分析。
使用xplico进行HTTP和web的分析
首先左侧选中new case,命名一个新的案例:
点击create,然后在caselist中选中HTTP-WEB:
点击左侧的new session,命名一个session, 点击create:
选中HTTPWEB,就进入到了分析界面:
接下来上传数据包,点击右侧的浏览,选中要上传的数据包:
点击upload即可。
此时可以看到上传部位的左侧出现了下图字样:
这个过程是将pcap数据包的内容解码为xplico更容易使用,解码完毕之后就会出现下图的内容:
可以看到在右下角的undecoded是有信息的:
所以点击左侧的undecoded–>TCP_UDP,进入到下面的界面:
这个界面中显示了目的ip、端口、日期、时间、连接持续时间以及包含更多细节的info.xml。目的地址被用红色标注了,点击之后可以看多更进一步的信息,这次以74.125.77.100为例。
点击之后会弹出一个下载框:
下载后的内容为:
结果显示有一个gif文件在2009.12.09被浏览或者被下载了。
也可以点击info.xml查看:
info.xml中显示了源地址和目的地址以及端口号,每对连接都有自己的info.xml可以用于查看更加具体的信息。
回到左侧的Undecode的Dig子目录下看看:
上图中可以看到一些通过http连接被查看的gif,tif,jpg格式的图像文件:
点击file栏目下的连接就可以查看:
步骤二
使用xplico进行voip的分析
为了使用voip服务,必须使用SIP协议,所以这次使用一个SIP数据包来分析VoIP的服务。
按照前面的方案快速创建case和session:
在面板中导入此次的数据包,点击upload进行分析:
点击面板左边的voip栏目,选中sip子菜单:
可以看到通话的细节,通过从192.168.1.111到192.168.1.112。
点击duration可以进一步的分析:
点击cmd.txt查看信息及记录:
上图中可以看到通话的日期、时间、持续时间等细节。
步骤三
使用Xplico分析Email
Email使用不同的协议进行首发,所以这一部分的实验使用两个数据包。一个是hotmail工作时抓到的数据包,一个是smtp协议的数据包。
同样,在开始之前创建case,sessions:
上传数据包:
在结果中可以看到http,dns,ftp有数据:
既然这样现在左侧菜单选中Graphs,然后选中子菜单Dns:
上图中可以看到hostname、CName,主机ip以及各自的info.xml。
再在左侧选中web->site:
被浏览过的网页都在这儿被显示出来了,可以看到前三条是属于域名mail.live.com的,第四、第五属于msn.com的。
查看第一条的info.xml:
在http部分我们可以看到Mozilla Firefox浏览器被使用来访问sn118w.snt118.mail.live.com。
在主界面选中image选项,然后点击Go:
随意点击一条url都会显示图片:
在左侧栏选中web->images也可以查看图片:
在左侧栏选中share->httpfile:
这个可以看到两个主题,通过点击info.xml可以看到进一步的信息:
分析SMTP
同样的流程进行创建:
分析后的结果如图:
既然知道分析的email,直接在左侧选中mail->email:
图中可以看到一个没有主题的email从gurpartap发送到了raj_de02002in,点击subject栏下的链接可进一步查看:
实验感想
- xplico相较于wireshark有更友好的交互界面,在数据分析之初,xplico可对数据进行预处理,之后可根据预处理结果对不同数据包进行相应的分析。
- xplico可对数据包进行深层次分析,而wireshark则达不到该深度。
- xplico的不足之处在于仅可对数据包进行分析,而不可对数据包进行截取。
- xplico仅可在linux环境下实验,而wireshark在windows、linux下均可使用。
答题
| 端口 | 协议 |
|---|---|
| 23 | telnet |
| 25 | smtp |
| 80 | http |
| 5060 | sip |
| 8080 | http |
注:8080与80端口无本质区别,具体看服务器开设在哪个端口。