用開源工具Xplico助力網絡應用層數據解碼

用開源工具Xplico助力網絡利用層數據解碼

首發：http://netsecurity.51cto.com/art/201606/513237.htm

0.概述

Xplico功能不但是1個網絡協議分析工具，還是1個開源的網絡取證分析工具(NFAT)。網絡取證分析工具是1個科學的捕捉，記錄和檢測入侵并進行調查的網絡流量分析處理系統。Xplico主要作用是從捕獲網絡利用層數據并顯示出來，這指的是通過捕獲Internet網絡流量來提取各種網絡利用中所包括的數據,并從中分析出各種不同的網絡利用。例如Xplico可以實時解析通過網關的流量,也能夠pcap文件中解析出IP流量數據,并解析每一個郵箱(包括POP、IMAP和SMTP協議),解析HTTP內容，和VOIP利用等。

注意：在后面設置中Xplico Web界面中的Menu→Dissectors能看到它所支持的利用層協議。

1.系統架構

XPlico系統由4個部份構成，分別是:

? 解碼控制器

? IP/網絡解碼器(Xplico)

? 程序集來處理解碼數據(ManiPulators)

? 可視化系統(用來查看結果)

解碼器Xplico是全部系統的核心組件,它的特點是高度模塊化,可擴大性和可配置性。它的主要工作進程是通過數據抓取模塊(cap_dissector)抓取網絡中的數據包,然后將數據包輸入到各個解析組件(Dissectors)中,得出的解析結果通過分發組件(Dispatcher)存儲到數據庫中,最后再顯示出來。其進程如圖1所示。

圖1 Xplico原理圖

從圖1可以看出，Xplico對協議的分析進程采取自頂向下的流程,首先Xplico捕獲到網絡數據包,然后根據包中的不同字段，辨別出不同的協議,分成TCP、UDP等協議進行分析,其中對TCP協議和UDP協議再根據不同的端口號和利用層協議的特點進1步細分，使用不同的解析器對報文進行分析和處理，最后得出結論并保存結果。

2. Xplico的數據獲得方法

在Xplico底層使用Libpcap來抓取數據包，它是1個專門用來捕獲網絡數據的編程接口。它在很多網絡安全領域得到了廣泛的利用,很多著名的網絡安全系統都是基于LibPcap而開發的，如著名的網絡數據包捕獲和分析工具Tcpdump，網絡入侵檢測系統snort也是使用Libpcap來實現的。Libpcap幾近成了網絡數據包捕獲的標準接口。Libpcap中使用了BPF(BSD Packet Filter)過濾機制,這部份是基于內核的過濾模塊，它使Libpcap具有捕獲特定數據包的功能，可以過濾掉網絡上不需要的數據包,而只捕獲用戶感興趣的數據包。使用Libpcap可以把從網絡上捕獲到的數據包存儲到1個文件中,還可以把數據包信息從文件中讀出,讀出的結果與從網絡上捕獲數據包的結果是1樣的。,

3.Xplico部署

Xplico目前最新版本為Xplico version 1.1.2(本文實驗采取版本為1.1.0)，其本身的運行需要其他1些軟件的支持例如Apache、Sqlite、tcpdump、tshark等。在安裝部署前，首先要準備好，這里以選用Ubuntu 系統。

環境：基礎平臺OS采取Ubuntu Linux 13.10，安裝方法以下：

注意：需要修改apache端口監聽文件/etc/apache2/ports.conf,添加以下內容

另外還有1種方法可使用集成工具箱DEFT 8.2 Live，用此光盤啟動系統后，進入控制臺首先啟動apache服務器，然后啟動xplico服務(順序反了不能成功)最后啟動Xplico的Web界面。

4.利用Xplico

啟動Xplico準備工作，首先啟動Xplico之前現在交換機端口上做好SPAN然后啟動Xplico。

步驟①：啟動命令：

Web登錄方法

閱讀器輸入地址http://ip:9876

登錄頁面比較簡潔,只要輸入用戶名和密碼就能夠,在這里,我們可使用默許的用戶名和密碼登錄XPlico系統"登錄系統后,可以看到創建和顯示實例的界面。在這個顯示頁面中,可以看到實例和會話的名稱標識、分析開始和結束的時間、pcap文件上傳選項、各個利用的分析結果等信息。

至此，Xplico系統使用之前的初始化設置完成了。現在我們選擇的是“pcap文件分析模式”，所以我們就能夠將Pcap文件提交到xPlico系統,查看和驗證其分析結果"這里選取web利用和本地客戶端收發郵件這兩個例子進行介紹，Xplico的原始系統還支持DNS、FTP等利用的分析.

Xplico中的功能簡化歸類為4個方面,分別是網站訪問、收發郵件、文件同享和即時通訊(MSN、IRC)其中收發郵件包括了POP3/SMTP收發郵件和網頁收發郵件。

步驟②：管理員登錄

默許使用以下用戶名和密碼登錄系統。

? 用戶名：admin

? 密碼：xplico

登錄成功后如圖2所示。

圖2 Xplico控制面板

在控制臺右邊菜單欄Dissectors上我們能夠輕松查看解析組件的分類,如圖3所示。

圖3 xplico支持的組件

當我們監控時需要調劑為xplico用戶名,xplico密碼登錄系統，首先在Case新建1個實例如圖4所示，然后啟動監聽，xplico監控主界面如圖6所示。

圖4 新建監控實例

選擇start按鈕開始實時監測,如圖5所示。

圖5 開始監測

效果如圖6所示。

圖6配置Xplico監聽

在監聽http利用層協議，來自哪一個IP，用戶閱讀了甚么樣的網頁信息都能1覽無余顯示出來，先看看客戶端閱讀網頁時被還原的圖片，如圖7所示。

圖7 Web利用層數據包解碼

注意：Skype正愈來愈普及,并遭到愈來愈多的關注，可是skype通訊軟件內部使用了AES分組密碼和RC4密鑰流生成的RSA公鑰密碼系統，使得它的保密性非常強大，以致于沒法被嗅探軟件捕獲并正確分析，自2012年微軟收購了skype后對其內部架構進行了調劑，使得第3方程序也能對視頻的聊天內容進行監聽和存儲。微軟的Lync Server通訊件就是基于SIP協議。如圖8所示。

圖 8 捕獲SIP協議通訊

圖 9捕捉到ftp賬號

圖9中展現的是從1臺計算機連接到1臺FTP服務器的服務要求，和通過XPlico嗅探所傳輸的數據包。采取網絡分析器取得用戶名與密碼是非常容易的事情(從數據包的內容可以很直接地知道用戶名。圖10展現了Facebook、MSN及IRC等聊天工具統統都在XPlico監控范圍以內，但唯獨Skype是個例外。

圖10捉MSN信息

在圖11示了用Xplico截獲兩臺主機(192.168.150.117和192.168.150.203之間的通訊)的syslog日志通訊內容。

圖11獲的syslog日志信息

5.深入分析Xplico

由Xplico捕捉的數據包默許存儲位置：/opt/xplico/pol_1/sol_1/raw/目錄，當程序啟動產生pol_1和pol_2兩個目錄用于承載數據，所以保證/opt分區為獨立分區并且空間足夠大。在/opt/xplico/pol_1/sol_1/目錄下每一個協議生成1個目錄，其內容是捕獲的數據，如圖12。

圖 12 xplico分類

例如查看詳細FTP協議情況，FTP數據會放在./ftp目錄下;在Msn目錄下則是嗅探得到的用戶對話記錄，以此類推。Xplico所存儲的重要數據放在/opt/xplico/xplico.db數據庫文件中，這是sqlite3文件格式，包括了表視圖等信息，但這些信息需要sqlite3的命令才能打開，而非普通的文本。可到http://sqlite.org/download.html下載工具如sqlitebrowser查看。

注意：Berkeley DB是Unix/Linux平臺下的高性能的嵌入式數據庫系統，這款開源軟件比SQL Server、Oracle系統更加簡單所以性能很高，經常使用在實時數據庫領域，比如在LDAP服務的后臺數據庫，另外一款開源數據庫就是用在xplico下的SQLite, SQLite是1款極為緊湊的可嵌入的數據庫，1款能處理巨大數據量的數據庫,有關它的詳細信息，大家參考《SQLite權威指南》。

圖13 SQLite閱讀Xlico數據庫表結構

圖14 查看表內容

本章是實驗中的1.1.0版本的xplico 在/opt/xplico/bin/modules下有65個模塊，如圖15所示。

圖15 支持的組件

當前，大量非關鍵業務流量協議可以自主變換端口，乃至假裝自己為其他端口流量，如 QQ、BitTorrent、eMule 等。使用 Iptables 傳統的匹配選項沒有辦法辨認出這些流量。因此，Iptables 提供了良好的擴大接口以實現更強大的功能，網絡流量管理系統可在此基礎上，開發能夠辨認數據包第7層數據內容的分類器。

6.綜合利用

用Google Earth監控IRC的通訊IP地址方位，IRC是互聯網上經典的通訊工具它采取C/S架構。如圖16所示開始抓IRC的通訊協議數據包，發現有兩個以被捕獲。然后就有Xplico對這類利用進行分析。在圖中它正在吧捕捉到的irc.pcap上傳到系統進行分析，很快就可以得到IP對應的地理信息位置信息。

圖16 捕獲2個IRC協議數據包

圖17 保存kml信息

步驟①：上傳捕獲到的irc_1.pcap數據包文件，將geomap生成的irc_1pcap.kml文件保存下來。這是個Google Earth能夠辨認的文件里面有IP的經度緯度的數值。如圖17所示。

步驟②：用Google Earth打開KML文件便可看到效果，如圖18所示。圖中由1條綠線連接兩臺計算機節點。

圖18 用谷歌地球軟件打開KML效果

http://geolite.maxmind.com/download/geoip/database/

由Xplico系統將抓包取得的irc_1.pcap數據包文件提煉出Kml文件，導入到谷歌地球客戶端，通過在kml文件中尋覓坐標并定位出線路的進程。這里的KML全稱是Keyhole Markup Language，是1個基于XML語法和格式的文件，主要用來描寫地理信息的點，線等信息在其中包括了每一個點的經度(Longitude)和緯度(Latitude)乃至是高度(Altitude)。

注意：GeoIP就是通過來訪者的IP，定位它的經緯度、國家/地區、省市乃至街道等位置信息。這里面的技術不算困難，關鍵在于有個精準的數據庫。但是免費提供的maxmind數據庫不準，最少國內的IP定位不太精準，但收費服務的效果要比免費的強許多，大家可以到Maxmind網站(www.maxmind.com )查閱相干信息。

從前面的介紹我們可以看到，Xplico系統具有了上網行動審計和分析功能，包括對HTTP協議、SMTP、POP3和FTP協議的支持,并且己經可以推行應用到實際環境中。另外對XPlico系統進行了改進和優化后,新的系統還增加了對國內主流郵箱的WebMail協議的支持,并且添加了對即時通訊軟件協議的支持,使其功能更加完善。由于目前Xplico所支持的協議還沒有法完全滿足市場的需求，這也是Xplico重點改進的地方。首發：http://netsecurity.51cto.com/art/201606/513237.htm

生活不易，碼農辛苦
如果您覺得本網站對您的學習有所幫助,可以手機掃描二維碼進行捐贈