[BackTrack5 R1] Xplico

개요

Xplico는 네트워크 프로토콜 분석기가 아닌 인터넷 트래픽을 캡처 하여, 그 안에 존재하는 응용 프로그램 데이터 추출하는 Tool (Network Forensic Analysis Tool : NFAT) 입니다.  예를 들어,  Xplico를 이용하여, pcap 파일에서 POP, IMAP 및 SMTP 프로토콜의 각 이메일 주소를 추출하거나, 모든 HTTP 내용 추출하거나, FTP, TFTP 데이터를 추출하는등에 사용됩니다.

 

Xplico의 특징을 살펴 보면, 다음과 같습니다.

 

- 다양한 프로토콜 지원 : HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6등

- 각 응용 프로그램 프로토콜에 대한 포트 독립적으로 프로토콜 식별 

- 멀티 스레딩

- 실시간 분석

- IPv4와 IPv6 지원

- 입력 인터페이스, 프로토콜 디코더 (Dissector)) 및 출력 인터페이스 (dispatcher) 모듈화

- 데이터 입력이나 파일수,파일 크기 제한 없다 (최대 크기 : HDD 크기와 같음)

테스트 환경

운영 체제 (OS) : BackTrack5 R1

 

상세 분석

 

- 일반적으로 패킷 캡처 파일 1개에 대해서 Decode 방법 :

 

./xplico -m [pcap(Dissector 모듈명)] -f [패킷 캡처 파일명]을 입력하면, 아래와 같이 패킷 캡처 파일에서 패킷 분석을 진행 합니다.

진행시 아래와 같은 Error를 발견 하더라고, 정상적으로 패킷 분석이 가능합니다. 아래와 같은 Error가 발생 하는 이유는 GeoLiteCity.dat 파일이 존재 하지 않아서 발생합니다.

GeoLiteCity.dat 파일은 IP 주소의 국가 및 도시정보가 들어 있는 파일 입니다. GeoLiteCity.dat 파일은 http://geolite.maxmind.com/download/geoip/database/에서 다운로드 받을 수 있습니다.

다운로드 받은 GeoLiteCity.dat.gz 또는 GeoLiteCity.dat.xz 파일은 압축을 풀어, /opt/xplico/에 넣어 주면 됩니다. 캡처된 패킷 파일 분석이 완료 되면, /opt/xplico/bin/xdecode 폴더에 아래와 같은 형식으로 저장이 됩니다.

[xdecode 디렉터리 구조 예]

[실제 분석된 내용]

 

e-mail을 예를 들어 분석된 내용을 살펴 보면 아래와 같으며, 와이어샤크를 이용하여 해당 패킷을 Follow TCP Stream한 내용과 비교 하였을때 저자는 내용 확인이 xplico가 조금 더 편하였습니다.

- 여러개의 패킷 캡처 파일에 대해서 Decode 방법 :

 

여러개의 파일을 Decode 하는 방법은 일반적으로 1개의 파일와 동일한 방법으로 진행 하나 다른점은 파일을 지정해 주는 것이 아닌 패킷 캡처 파일들이 존재하는 폴더를 지정해 주면 된다는 것이다.

 

./xplico -m [pcap(Dissector 모듈명)] -d [패킷 캡처 파일들이 존재 하는 폴더]

 

- 실시간으로 패킷을 캡처하여, Decode 하는 방법 :

 

./xplico -m [rltm(Dissector 모듈명)] -i [네트워크 인터페이스]를 입력하면, 실시간으로 지나다니는 패킷을 캡처하여 분석 할 수있습니다. 

실시간 분석을 정지하는 방법은 Ctrl + c를 누르면 실시간 분석이 정지가 됩니다.

 

xplico는 많은 Decode 모듈이 존재하며, Decode 모듈은 /opt/xplico/bin/modules/에 존재합니다.

만약 xplico 사용자가 모든 모듈을 사용하지 않고, 분석에 필요한 모듈만 사용 하고 싶다면,  /opt/xplico/cfg 폴더에 존재하는 xplico_cli.cfg 파일을 수정하면 원하는 모듈만 사용이 가능합니다.

참고 URL 및 도서

- http://www.xplico.org/