네트워크 포렌식 도구 Xplico
Xplico 는 NFAT( 네트워크 포렌식 분석 도구)로 패킷 스니퍼 (예: Wireshark , tcpdump , Netsniff-ng )로 수행된 수집 내용을 재구성하는 소프트웨어(오픈 포렌식 분석 도구)입니다 . 프로토콜에 의해 운반되는 데이터의 재구성이 주요 특징이 아닌 프로토콜 분석기(Wireshark) 와 달리 Xplico는 프로토콜의 애플리케이션 데이터를 재구성하는 것을 분명히 목표로서 웹 탐색의 원시 데이터를 갖고 있다고 생각할 수 있는 것을 명확히 하기 위해 모든 웹 페이지와 콘텐츠(쿠키, 이미지, 파일 등등), 프로토콜(IMAP, POP, SMTP 등)과 교환되는 전자메일을 재구성 할 수 있습니다.
* 식별가능한 프로토콜(VoIP , MSN , IRC , HTTP, IMAP, POP, SMTP, FTP)
특징
- 지원되는 프로토콜 : HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6, ...
- 각 애플리케이션 프로토콜에 대한 PIPI (Port Independent Protocol Identification)
- SQLite 데이터베이스 또는 MySQL 데이터베이스 및 / 또는 파일에 데이터 및 정보 출력
- 재구성한 각 데이터에는 플로우를 고유하게 식별하는 XML 파일과 재구성 된 데이터가 포함된 pcap 연결
- 임의의 패킷 또는 소프트 ACK 검증을위한 ACK 검증을 통한 TCP 리 어셈블리
- 외부 DNS 서버가 아닌 입력 파일 (pcap)에 포함된 DNS 패키지에서 역 DNS 조회
- 데이터 입력 또는 파일 입수 수에 제한 X
- 모듈화 : 각 Xplico 구성 요소는 모듈 (입력 인터페이스, 프로토콜 디코더(Dissector) 및 출력 인터페이스 등)
- 가장 적절하고 유용하게 추출된 데이터를 구성 할 수 있는 디스패처를 쉽게 생성 할 수 있는 기능.
사용 방버
1. Security Onion 설치
https://koromoon.blogspot.com/2020/09/security-onion.html
2. Xplico 실행
3. Xplico Login(is/pw xplico)
4. Pcap 분석
초기화면에서 New Case를 생성(임의의 이름)하고 New Session으로 Session을 생성 후 Session 메인 화면의 pcap set에서 choose file기입란에 저장된 pcap 파일을 업로드하여 pcap에 내포된 네트워크 트래픽 정보를 확인할 수 있다.
Xplico를 사용하여 네트워크 트래픽을 하게 된다면 GUI으로 화면에서 가시적으로 확인이 가능하며 특정 IP가 어떤 홈페이지를 접속하였는지 확인이 가능하다.
참고 사이트
'Network' 카테고리의 다른 글
| [Network] 프로토콜 분석기 도구 - NetworkMiner (0) | 2021.07.21 |
|---|---|
| [Network] 네트워크 트래픽 분석 도구 - CapTipper (0) | 2021.07.20 |
| [Network] Wireshark 통계 분석 (0) | 2021.07.18 |
| [Wireshark] Wireshark display filters 기능 (0) | 2021.07.16 |
| [WireShark] Wireshark 정의 및 다운로드 (0) | 2021.07.15 |
