Xplico的目标是提取互联网流量并捕获应用数据中包含的信息。
举个例子,Xplico可以在pcap文件中提取邮件内容(通过POP,IMAP,SMTP协议),所有的HTTP内容,每个VoIP的访问(SIP),FTP,TFTP等等,但是Xplico不是一个网络协议分析工具。Xplico是一个开源的网络取证分析工具(NFAT)。
特征:
协议支持:HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6, … ;
针对每个应用协议都有端口独立协议识别(PIPI);
多线程;
支持使用SQLite数据库或者Mysql数据库甚至文件进行数据和信息的输出;
每个数据都由Xplico重新组装,并被关联到能够唯一识别流量的XML文件。Pcap包含重组数据;
支持实时查询细节(能否真的实现取决于流量大小、协议类型和计算机性能-TAM, CPU, HD访问时间等...);
为任何数据包和soft ACK认证使用ACK确认进行TCP重组;
反向DNS查找是查找包含在输入文件(pcap)中的DNS数据包,而不是查找来自外部的DNS服务器;
对输入数据的大小或者输入文件的数量没有限制(仅仅限制了HD的大小);
支持IPv4和IPv6;
模块化。每个Xplico部件都是一个模块。输入接口、协议解码器、输出接口都实现了模块化;
轻松创建任何调度,使用最合适、最有效的方法实现数据分离。
作者:FireFrank
来源:51CTO
