Blog

Cómo analizar el tráfico capturado – Xplico

Hoy voy a hablar sobre una herramienta llamada Xplico que se usa para analizar un tráfico de red capturado.

La forma más directa (y también más engorrosa) de analizar el tráfico en bruto es mediante el conocido Wireshark (anteriormente Ethereal); sin embargo existen otras herramientas para analizar el tráfico de manera mucho más visual y comprensible como la que hoy comento.

Wireshark es mucho más flexible ya que nos permite analizar trama a trama todo el timeline del tráfico y nos ofrece una infinidad de opciones y filtros muy potentes; pero a no ser que tengamos una gran destreza usándolos se convierte en un handicap (que muchos intentamos solucionar buscando por google.com) más que en una ayuda.

/******************************

1. Tipo de captura

2. Instalar Xplico Kali y Ubuntu

3. Analizando el tráfico

******************************/

1. Tipo de captura

Para hacer la prueba he usado una captura de tráfico en vivo, esto es, he arrancado xplico y he capturado en tiempo real el interfaz de red que tiene conexión a internet. En el mismo portátil donde corría Xplico me he puesto a navegar y a logearme en distintas webs para generar tráfico y cuando he tenido una pequeña muestra representativa he parado la captura.

Xplico es capaz de capturar en tiempo real el tráfico, o por el contrario procesar una captura en formato “.pcap”.

nuevo caso xplico

2. Instalar Xplico

Xplico se puede instalar en diversas maquinas GNU/Linux. Durante las pruebas he probado a instalarlo tanto en una Máquina Virtual con Ubuntu 13.04 32-bits como en Kali Linux, siendo en este último donde me ha acabado funcionado (en Kali me ha funcionado en el momento inmediato de instalarlo, luego he reiniciado y para que volviera a funcionar lo he tenido que reinstalar xD).

2.1 Ubuntu

Para las pruebas he creado una máquina virtual con Ubuntu 13.04 32-bits (ya que tiene el instalador más sencillo) y a continuación he seguido los siguientes pasos para instalarlo:

sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico

2.2 Kali Linux

Como no me ha terminado de funcionar en Ubuntu he decidido instalarlo en Kali mediante los siguinetes comandos:

apt-get install tcpdump tshark apache2 php5 php5-sqlite build-essential perl zlib1g-dev libpcap-dev libsqlite3-dev php5-cli libapache2-mod-php5 libx11-dev libxt-dev libxaw7-dev python-all sqlite3 recode sox lame libnet1 libnet1-dev libmysqlclient15-dev
apt-get install xplico
/etc/init.d/apache2 restart
/etc/init.d/xplico start

3. Analizando el tráfico

3.1 Arrancando la herramienta

Para acceder a la herramienta tenemos que irnos al navegador y escribir: “127.0.1.1:9876” (IP 127.0.1.1 con puerto 9876).

Nos aparecerá una página de login en la que tendremos que ingresar con las credenciales:

  Usuario: xplico

Password: xplico

Después de loguearnos nos aparecerá una Panel con los Casos existentes.

Cada Caso se puede entender como un proyecto diferente. Un ejemplo sería englobar todas las capturas wifi que hagamos en una tarde en el mismo Caso ya que todas han sido capturadas en el mismo espacio de tiempo (y posiblemente tenga relacción unas con otras).

vision casos xplico

Dentro de un caso hay diferentes Sesiones, por lo que cada Sesion es una subdivisión de un Caso. Si volvemos al ejemplo anterior en el que todas las capturas de una tarde han sido “englobadas” en un Caso; cada una de las pequeñas “capturas” que conforman la tarde entera, será una sesión.

vision sesiones xplico

Cuando creemos un caso nos dará a elegir entre obtener los datos por captura en vivo (“Adquisición de vivir”; la traducción es muy mala xD) o por el contrario, analizar los datos mediante un fichero “.pcap” que le demos.

nuevo caso xplico

3.2 Analizando

Una vez recogido y procesado cierto tráfico la herramienta nos ofrecerá bastantes formas de visualización de la información.

En la Pestaña Web -> Site podemos ver todos los componentes que conforman la web ordenados por formatos.

trafico web xplico

Si hacemos doble click sobre cualquier componente, obtendremos un .html con ese componente; por lo que si lo hacemos sobre una página “.html” obtendremos la página exactamente como la ve la persona a la que se le ha realizado la monitorización.

reconstruccion de pagina web xplico

Dentro de la Pestaña Web -> Images podemos ver todas las imágenes descargadas, no solo con sus nombres, sino en formato imágen. Este apartado es muy interesante porque de un vistazo nos podemos hacer una idea de por donde ha estado navegando el usuario.

imagenes captura xplico

En la Pestaña Mail se mostrará información sobre emails enviados o recibidos así como de webmail. Sin embargo, como la mayoría de webmails en la actualidad tienen https, una capa de cifrado que impide el análisis de tráfico por este método, es muy probable que no captemos nada en esta sección.

En las siguientes Pestañas podemos encontrar un poco de todo; Voip, diferentes protocolos de chat, conexiones ftp,… Sin embargo vuelvo a remarcar el tema del cifrado; la mayoría de los servicios que disfrutamos de mensajería, Voip, etc… suelen llevar una capa cifrada que impide el análisis del tráfico de este tipo.

En la ultima Pestaña Undecoded -> TCP-UDP se exponene las tramas que no han sido posible determinar que son. La mayoría de ellas corresponden a tráfico del puerto 443 (HTTPS) que como antes he comentado, no podemos analizar.

trafico no decodificado xplico, https

Y bueno, hasta aquí la visión de esta herramienta que nos permite analizar el tráfico desde una perspectiva más humana.

Carlos Rebollo – @CharlieSec

Carlos@highsec.es

  1. R0dw3
    R0dw309-13-2013

    Gracias Carlos, no conocía la herramienta, tendré que probarla a ver que tal la instalación…
    🙂

  2. BTshell
    BTshell09-13-2013

    Buenísimo CARLOS, ya conocía xplico, pero lo has explicado en el post MUY MUY MUY BIEN, me ha encantado, GRACIAS MÁQUINA..

  3. Carlos Rebollo Rodríguez
    Carlos Rebollo Rodríguez09-13-2013

    Me alegro que os haya gustado 🙂

  4. Sirius
    Sirius09-13-2013

    Buen tutorial y buen parseador !!. Igual hay una clave WEP de cebo. Cuidadín!! XDD.

  5. cuba
    cuba07-01-2014

    hola amigos, descargue xplico 1.1.0. desde http://www.xplico.org. y resulta que lo que te descargas es una maquina virtual que cuando inicias y pones el user y password todo bien pero una vez que intentas levantar la interfaz grafica con el comando startx simplemente no te deja, alguien puede hacer un tutorial o video y pasar el link por favor de ser posible escribame a ioparlofresa@gmail.com

Leave a Reply

*

    No Twitter Messages