实验链接

Xplico是一款开源的网络取证分析工具，其分析与呈现的能力非常强大。Xplico可以捕获Internet网络应用层流量，通过流量解析，解析出网络包中的各种应用数据，还原网络数据发送现场。通过本实验学习掌握Xplico使用方法，学会利用Xplico对网络流量进行分析取证。

链接：http://www.hetianlab.com/expc.do?ce=10748f62-5706-403d-bf77-7bfa96766ecc

实验简介

实验所属系列： 数据安全

实验对象： 本科/专科信息安全专业

相关课程及专业： 计算机网络

实验类别： 实践实验类

预备知识

• 关于xplico

  xplico可以从pcap包中还原出每一封邮件(POP,IMAP,SMTP协议),所有的http内容等等.Xplico并不是协议分析工具,而是网络取证工具。

• xplico系统构成

  一个解码管理器叫做DeMa

  一个IP解码器叫做Xplico

  一组主要应用解码器(HTTP解码器,SMTP解码器等)

  一个结果输出界面

实验目的

通过该实验了解Xplico的使用方法，能够通过分析还原网络数据发送现场，能够分析多种协议以及熟练掌握xplico进阶使用方法。

实验环境

服务器：kali，IP地址：随机分配

辅助工具：xplico

测试脚本请在实验机内下载：http://tools.hetianlab.com/tools/T027.zip

实验步骤

步骤一

一直以来，大多数人都是使用wireshark进行流量分析、取证等，流量分析当然是wireshark更好，至于流量取证，其实更适合用xplico。

安装xplico（已装）

使用之前需要启动apache2服务和xplico服务：

此时浏览器输入ip:9876/users/login即可：

用户名和密码都是xplico，登录后的页面如图：

实验文件夹中准备了几个数据包，接下来分别进行分析。

使用xplico进行HTTP和web的分析

首先左侧选中new case，命名一个新的案例：

点击create，然后在caselist中选中HTTP-WEB：

点击左侧的new session，命名一个session， 点击create：

选中HTTPWEB，就进入到了分析界面：

接下来上传数据包，点击右侧的浏览，选中要上传的数据包：

点击upload即可。

此时可以看到上传部位的左侧出现了下图字样：

这个过程是将pcap数据包的内容解码为xplico更容易使用，解码完毕之后就会出现下图的内容：

可以看到在右下角的undecoded是有信息的：

所以点击左侧的undecoded–>TCP_UDP，进入到下面的界面：

这个界面中显示了目的ip、端口、日期、时间、连接持续时间以及包含更多细节的info.xml。目的地址被用红色标注了，点击之后可以看多更进一步的信息，这次以74.125.77.100为例。

点击之后会弹出一个下载框：

下载后的内容为：

结果显示有一个gif文件在2009.12.09被浏览或者被下载了。

也可以点击info.xml查看：

info.xml中显示了源地址和目的地址以及端口号，每对连接都有自己的info.xml可以用于查看更加具体的信息。

回到左侧的Undecode的Dig子目录下看看：

上图中可以看到一些通过http连接被查看的gif,tif,jpg格式的图像文件：

点击file栏目下的连接就可以查看：

步骤二

使用xplico进行voip的分析

为了使用voip服务，必须使用SIP协议，所以这次使用一个SIP数据包来分析VoIP的服务。

按照前面的方案快速创建case和session：

在面板中导入此次的数据包，点击upload进行分析：

点击面板左边的voip栏目，选中sip子菜单：

可以看到通话的细节，通过从192.168.1.111到192.168.1.112。

点击duration可以进一步的分析：

点击cmd.txt查看信息及记录：

上图中可以看到通话的日期、时间、持续时间等细节。

步骤三

使用Xplico分析Email

Email使用不同的协议进行首发，所以这一部分的实验使用两个数据包。一个是hotmail工作时抓到的数据包，一个是smtp协议的数据包。

同样，在开始之前创建case,sessions：

上传数据包：

在结果中可以看到http,dns,ftp有数据：

既然这样现在左侧菜单选中Graphs，然后选中子菜单Dns：

上图中可以看到hostname、CName，主机ip以及各自的info.xml。

再在左侧选中web->site：

被浏览过的网页都在这儿被显示出来了，可以看到前三条是属于域名mail.live.com的，第四、第五属于msn.com的。

查看第一条的info.xml：

在http部分我们可以看到Mozilla Firefox浏览器被使用来访问sn118w.snt118.mail.live.com。

在主界面选中image选项，然后点击Go：

随意点击一条url都会显示图片：

在左侧栏选中web->images也可以查看图片：

在左侧栏选中share->httpfile：

这个可以看到两个主题，通过点击info.xml可以看到进一步的信息：

分析SMTP

同样的流程进行创建：

分析后的结果如图：

既然知道分析的email，直接在左侧选中mail->email：

图中可以看到一个没有主题的email从gurpartap发送到了raj_de02002in，点击subject栏下的链接可进一步查看：

实验感想

• xplico相较于wireshark有更友好的交互界面，在数据分析之初，xplico可对数据进行预处理，之后可根据预处理结果对不同数据包进行相应的分析。
• xplico可对数据包进行深层次分析，而wireshark则达不到该深度。
• xplico的不足之处在于仅可对数据包进行分析，而不可对数据包进行截取。
• xplico仅可在linux环境下实验，而wireshark在windows、linux下均可使用。

答题

端口	协议
23	telnet
25	smtp
80	http
5060	sip
8080	http

注：8080与80端口无本质区别，具体看服务器开设在哪个端口。