Magazine Internet

XPlico, le compagnon idéal de WireShark

Publié le 22 juin 2010 par Nicolargo

C’est en lisant le flux RSS de Korben que je suis tombé sur le projet open-source Xplico. Ce dernier a pour but de présenter de manière lisible les fichiers de capture réseau au format PCap (générés notamment par WireShark et TCPDump).

Actuellement en développement (version 0.5.7 au moment de l’écriture de cet article), Xplico se base sur une architecture ouverte permettant d’ajouter assez simplement des modules de décodage (manipulators) et de visualisation (vizualization) de protocoles.

XPlico, le compagnon idéal de WireShark

Nous allons maintenant voir comment installer, configurer et utiliser XPlico sur une système d’exploitation Debian like (Debian / Ubuntu…).

Installation

On récupère la dernière version du package .deb sur le site officiel puis on installe le .deb avec lke gestionnaire de paquet Ubuntu.

Si votre système dispose d’un serveur APACHE, PHP5 et du module PHP5-SQLITE, vous n’avez rien d’autre à faire dans ce chapitre installation.

Sinon, il faut saisir les commande suivantes:

sudo install  apache2 mysql-server php5 php5-sqlite

sudo a2enmod rewrite

sudo cp /opt/xplico/cfg/apache_xi /etc/apache2/sites-enabled/xplico

sudo apache2ctl restart

Configuration

L’interface Web va vous permettre d’uploader vos fichiers de capture. De base, PHP limite la taille maximale des fichiers “uploadables” à 8 Mo. Pour augmenter cette limite, il faut éditer le fichier /etc/php5/apache2/php.ini:

post_max_size = 100M

upload_max_filesize = 100M

Puis relancer Apache pour prendre en compte la modification:

sudo apache2ctl restart

Utilisation

On commence par lancer un navigateur Web et pointer vers l’adresse suivante: http://localhost:9876/

XPlico, le compagnon idéal de WireShark

Le compte par défaut est le suivant:

Login: xplico
Ppassword: xplico

XPlico, le compagnon idéal de WireShark

On clique ensuite sur “New Case” pour créer un nouveau projet.

XPlico, le compagnon idéal de WireShark

Puis une nouvelle session (correspondant à une capture):

XPlico, le compagnon idéal de WireShark

On associe alors la session à notre fichier .pcap préhalablement généré avec Wireshark (vous pouvez récupérer un exemple de capture à l’adresse suivante).

XPlico, le compagnon idéal de WireShark

Le chargement du fichier capture et son analyse peuvent prendre quelques secondes…

XPlico, le compagnon idéal de WireShark

On a enfin le résultat qui s’affiche:

XPlico, le compagnon idéal de WireShark

On peut par exemple visualiser l’adresse (URL) des sites Web visités:

XPlico, le compagnon idéal de WireShark

Et entrer dans le détail des images téléchargées:

XPlico, le compagnon idéal de WireShark

On peut également voir:

  • la liste des requêtes DNS
  • la liste des mails envoyés et leur contenus (si votre serveur Webmail n’est pas HTTPS…)
  • la liste des appels SIP avec les numéros de téléphones
  • la liste des fichiers téléchargés en HTTP, FTP, TFTP (que l’on peut récupérer)
  • l’historique des chats (MMS, NNTP, Facebook)
  • l’historique des sessions Telnet
  • une matrice des autres protocoles (non décodés)

Une bonne raison d’utiliser des protocoles chiffrés

:)

Big brother, à vous Paris…


Retour à La Une de Logo Paperblog

A propos de l’auteur


Nicolargo 417 partages Voir son profil
Voir son blog

l'auteur n'a pas encore renseigné son compte l'auteur n'a pas encore renseigné son compte

Magazine