Xplico. Una herramienta de análisis forense de tráfico de red

Buenas,

Con el curioso nombre de Xplico se ha publicado una herramienta de análisis forense orientada al tráfico de red.

En funcionamiento de Xplico es tremendamente sencillo: con esta herramienta se pretende que el investigador, una vez obtenido un fichero de tráfico de red, sea capaz de extraer, clasificado por categorías, la totalidad de datos de las aplicaciones intervinientes en la generación de dicho tráfico. Así, por ejemplo, de una captura pcap Xplico extraerá correos, contenidos HTTP, llamadas VoIP, sesiones SFTP/FTP, etc. Xplico soporta un buen número de protocolos y a buen seguro irá aumentando su compatibilidad.

Otras características interesantes de la herramienta son su capacidad de extracción de datos en formatos SQLite/MySQL, capacidad de proceso en tiempo real, soporte IPv6 y una buena modularidad, ya que cada componente es en sí un módulo, lo que facilita el uso de porciones de nuestro interés en detrimento de módulos que consideremos innecesarios.

La documentación está disponible en este enlace, y Xplico se puede descargar sin coste alguno a través de http://www.xplico.org/download. Está liberado según GNU/GPL.

Un saludo,

7 comentarios sobre “Xplico. Una herramienta de análisis forense de tráfico de red

  1. HOla josemaria,

    Más que «inteligente» podríamos decir que hace una tarea de extracción orientada, lo cual no deja de ser interesante, porque casi todos los sniffers de red, véase Wireshark por ejemplo, son usados casi siempre, en modo «a lo bestia». Me explico: es relativamente normal que si, por ejemplo, tenemos que auditar el tráfico FTP de una máquina a otra, en vez de orientar la captura y decirle al sniffer öye, que yo lo que quiero es sólo el tráfico FTP», nos acabamos llevando en el pendrive un paquete de 900 megas con TODO el tráfico que pasa por la tarjeta.

    Teniendo en cuenta que la mayoría de usuarios no usa los filtros propios de Wireshark, algo que no he llegado a comprender nunca, entiendo que Xplico les hará la vida más fácil.

    Un saludo,

  2. ¿En serio?¿Se puede usar Wireshark sin filtros?¿Y vale para algo?¡Pero si yo es lo primero que le enseño a usar a mis alumnos! Pues mira, ya tengo una idea para hacer un pequeño post y adoctrinar a los «perdidos»

  3. Josemaria,

    Pues hombre, como poder se puede, otro tema es que después te encuentres 100 kb útiles por cada 10 MB de tráfico :)

    Me alegro de que instruyas a los alumnos sobre extracciones «con cabeza», ya que insisto en que es relativamente frecuente ver a los usuarios de Wireshark realizar capturas a lo bestia sin filtrado alguno.

    Un saludo :)

Comentarios cerrados.