Ferramenta Forense de Análise de Rede (NFAT) - Xplico

paulorvojr

Uma excelente ferramenta de análise forense, que é capaz de interpretar quase todos os protocolos mais usados e capturados de forma prática e visual. Imagine descobrir qual site, e-mail, e até conversa VOIP que um computador trafegou.

[ Hits: 68.395 ]

Por: Paulo Roberto Junior - WoLF em 06/08/2010

0 0

Denuncie Favoritos Indicar Impressora

Extras, dicas, conclusão

Primeiramente, o Xplico vem inserida em algumas distribuições de caráter forense, como a Deft, cuja nova versão sai por esse mês. Ou seja, caso tenha dificuldades em implementar o xplico, erros na instalação, dependências e outros erros, você pode baixar a distribuição e testar esta maravilhosa ferramenta.

Outra maneria é baixar a imagem de uma VM (virtual machine - máquina virtual) pelo link:

http://sourceforge.net/projects/xplico/files/

Mas o recomendado é você instalar o Xplico, até para praticar e testar todas as funções.

Em segundo, vamos as pequenas falhas que podemos nos deparar.

Erro ao enviar (upload) um arquivo pcap capturado:

Geralmente falha em envio de arquivos está relacionada à configuração do servidor web com PHP, e mais ainda o php.ini.

Para isso, altere os seguintes parâmetros em seu php.ini (Ubuntu: /etc/php5/apache2/php.ini - outros consulte).

post_max_size
upload_max_filesize

Ex.: Para enviar um arquivo com mais de 100MB no apache-php, sete os parâmetros para:

post_max_size = 100M
upload_max_filesize = 100M

Outro erro:

Em algumas distribuições você deve ter permissão no diretório temporário, geralmente no /tmp. Para isso dê um:

# chmod -R 777 /tmp

Este comando deve ser executado no terminal (shell).

Outro erro:

Porque aparece uma página em branco no Xplico, ao se logar? Verifique se você instalou o pacote php5-sqlite.

Se não o possui, instale:

# apt-get install php5-sqlite
ou
sudo apt-get install php5-sqlite

Agradeço a todos pelo apoio e que ajude em algo estas informações.

Lembrando que este artigo é uma contribuição extra, e não contém todas informações, pois sempre haverá novas informações úteis ou não.

----------------------------------
Paulo Roberto Junior - WoLF
Analista de Sistemas e Suporte
Certificado em LPI, Microsoft, CCLA, buscando mais
Bacharel em Ciência da Computação, buscando uma PÓS e Mestrado.

www.paulojr.info | blog.paulojr.info | @paulo_robertojr | artigos.paulojr.info

Página anterior

Páginas do artigo

   1. Introdução
   2. Instalação do Xplico
   3. Uso e telas
   4. Extras, dicas, conclusão

Outros artigos deste autor

GINGA - Software Livre para TV Digital Brasileira

Samba + DHCP + Webmin em 3 distribuições Linux

FAM - Monitorar alteração de arquivos

Servidor Messenger Openfire passo-a-passo no Linux

Auditoria de computadores com OPEN-AUDIT

Leitura recomendada

OpenBSD IDS - Solução Snort e BASE

Tutorial de Instalação do ClamAV - Anti-vírus open Source

Solução de backup para servidores Windows, Linux & BSD’s

Antivírus ClamAV com proteção em tempo real

Desligamento automático seletivo com apcupsd

Comentários

[1] Comentário enviado por Dombom em 06/08/2010 - 11:51h

Parabéns
Otima materia

0 0

[2] Comentário enviado por ggalmeida em 06/08/2010 - 14:06h

Excelente. Posso monitorar máquinas rodando qualquer SO que estejam inseridas na rede?

Abraço.

0 0

[3] Comentário enviado por cytron em 06/08/2010 - 23:15h

Tá louco! Ferramentinha violenta, isso disseca a rede mais do que um estudante de medicina disceca um sapo! Só pra testar me conectei a uma rede wireless de um provedor aqui da região, o resultado foi surpriendente. Me senti como se fosse o google (dono do mundo) kkkkkkkkk.

Para trabalhar como segurança ou investigador digital esse Xplico é ideal.

0 0

[4] Comentário enviado por jem06 em 08/08/2010 - 20:19h

legal cara, muito obrigado. Eu tenho como preceito, respeitar todos estes trabalhos. Se um dia eu conseguir tudo isto. Jamais prejudicarei alguem. Bom trabalho Paulo. Mas reitero o meu comportamento, conhecer é ótimo. JOnny maia.

0 0

[5] Comentário enviado por jem06 em 08/08/2010 - 20:21h

Obrigado Paulo. Tenho por preceito, jamais prejudicar alguem. Mas muito obrigado. Jonny maia

0 0

[6] Comentário enviado por paulorvojr em 09/08/2010 - 03:03h

De nada galera, ajudar sempre e compartilhar informações sempre é útil para ambos os lados.
Mesmo uma ferramenta que pode ser usada pro bem ou pro EVIL!! rsrsrs, não se aprende sem praticar .

Abraços.

0 0

[7] Comentário enviado por cpaynes em 12/09/2010 - 13:40h

opa .. blza ???
bom artigo ... pouca coisa eh encontrada nesse sentido ...
eu estou com um problema .. seguinte ..
no momento em que eu vou realizar o make install dentro do diretorio xplico-0.5.8 me da esse erro que segue abaixo...
todas as dependencias estao instaladas .. se vc souber o que pode ser ... agradeco ...

cc -rdynamic -I/opt/xbuild/xplico-0.5.8/system/dema/include -Wall -g -ggdb -fPIC -D_FILE_OFFSET_BITS=64 -DDB_SQLITE2=1 -c -o dbinterface.o dbinterface.c
dbinterface.c:28:25: error: mysql/mysql.h: Arquivo ou diretório não encontrado
dbinterface.c:39: error: expected ‘=’, ‘,’, ‘;’, ‘asm’ or ‘__attribute__’ before ‘*’ token
dbinterface.c: In function ‘DBIntQuery’:
dbinterface.c:53: warning: implicit declaration of function ‘mysql_query’
dbinterface.c:53: error: ‘conn’ undeclared (first use in this function)
dbinterface.c:53: error: (Each undeclared identifier is reported only once
dbinterface.c:53: error: for each function it appears in.)
dbinterface.c:76:6: warning: #warning "to complete"
dbinterface.c: In function ‘DBIntInit’:
dbinterface.c:84: error: ‘MYSQL’ undeclared (first use in this function)
dbinterface.c:84: error: ‘ret’ undeclared (first use in this function)
dbinterface.c:95: error: ‘conn’ undeclared (first use in this function)
dbinterface.c:95: warning: implicit declaration of function ‘mysql_init’
dbinterface.c:96: warning: implicit declaration of function ‘mysql_real_connect’
dbinterface.c: In function ‘DBIntClose’:
dbinterface.c:134: warning: implicit declaration of function ‘mysql_close’
dbinterface.c:134: error: ‘conn’ undeclared (first use in this function)
make[2]: ** [dbinterface.o] Erro 1
make[2]: Saindo do diretório `/opt/xbuild/xplico-0.5.8/system/dema'
make[1]: ** [subdir] Erro 1
make[1]: Saindo do diretório `/opt/xbuild/xplico-0.5.8/system'
make: ** [subdir] Erro 1

0 0

[8] Comentário enviado por paulorvojr em 12/09/2010 - 14:54h

christovam_cps, tudo bom?

Segundo o erro, informa que você não tem mysql instalado ou registrado. Ele precisa de um SGBD, tudo bem so para se logar no mini-painel dele na web, mas ele pede, temos que atender.

abraços

0 0

[9] Comentário enviado por cpaynes em 12/09/2010 - 22:00h

opa..
tranquilo aqui..

Mas estranho o seguintee, eu ja possuia o mysql instalado e funcionando com outras ferramentas,
e as dependencias que foi solicitadas instalaram corretamente, ai eu peguei e instalei em outro micro aqui tambem
e funcionou perfeitamente. essa semana eu dou uma olhada com calma o que pdoe ser ..
que no comeco eu ate achei que o mysql.h fosse do xplico ..
mas agradeco o retorno ...

abracos ...

0 0

[10] Comentário enviado por giomagno em 14/04/2012 - 12:26h

e ai beleza, realizei a instalação da nova versão seguindo os procedimentos do próprio site deles, mas quando eu termino de upar os arquivos pcap, não consigo gerar os gráficos será que esqueci algo?

0 0

[11] Comentário enviado por davidt em 09/09/2013 - 16:19h

O comando "Install Xplico", não funciona. Estou usando Ubuntu 12.04.
Erro:

root@jcruzeiro-ProLiant-ML110-G5:/home/jcruzeiro# Install Xplico
No command 'Install' found, did you mean:
Command 'install' from package 'coreutils' (main)
Install: command not found

0 0

[12] Comentário enviado por paulorvojr em 10/09/2013 - 00:41h

Davidt, tudo bom?

tenta isso:

sudo bash -c 'echo "deb http://repo.xplico.org/ $(lsb_release -s -c) main" >> /etc/apt/sources.list'
sudo apt-key adv --keyserver keyserver.ubuntu.com --recv-keys 791C25CE
sudo apt-get update
sudo apt-get install xplico

0 0

[13] Comentário enviado por VandersonDiniz em 18/11/2013 - 00:20h

giomagno, dê uma olhada nisso:

"Dns Graphs
The graphs are made with Open Flash Chart."

http://localhost:9876/users/help

0 0

[14] Comentário enviado por VandersonDiniz em 18/11/2013 - 00:47h

http://teethgrinder.co.uk/open-flash-chart-2/tutorial.php

0 0

[15] Comentário enviado por paulorvojr em 18/11/2013 - 17:22h

A ideia é excelente galera, mas peca em ser exclusivo em flash.

Hoje em dia utilizo http://www.fusioncharts.com/

funciona em qualquer tablet, seja android ou ios

0 0