Xplico ist ein Linux (Fedora / Ubuntu) basiertes Open-Source-Programm welches sich zum Ziel gesetzt hat, von mitgeschnittenem Internet Traffic beinhaltetende Applikationsdaten heraus zu filtern. So ist es Xplico beispielsweise möglich aus einer pcap Datei E-Mails (POP, IMAP und SMTP Protokolle), alle HTTP Inhalte, Voice Telefonate (SIP-Protokoll), FTP, TFTP usw. zu filtern. Xplico ist nicht für die Protokoll-Analyse von Netzwerken gedacht, es ist ein Netzwerkforensisches Analyse Tool (NFAT).
Xplico wird unter GNU veröffentlicht und enthält einige Scripts die unter Creative Commons (Non-Commercial-ShareAlike 3.0 unported / CC BY-NC-SA 3.0) fallen.
Funkionen von Xplico
- Unterstützte Protokolle: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6 und weitere
- Port Unabhängige Protokoll Identifikation (PIPI) für jedes Applikationsprotokoll;
- Multithread Unterstützung;
- Datenausgabe in SQLite Datenbank oder als MySQL Datenbank
- Immer dann, wenn Daten durch Xplico neu gefiltert werden, so wird eine XML Datei generiert welche die Datenströme und die pcap Datei für die Datenfilterung eindeutig identifiziert.
- Echtzeit Datenaufbereitung (Abhängig von der Anzahl der Datenströme, der Protokollart und der entsprechende Rechenleistung -RAM, CPU, Festplatten-Zugriffsgeschwindigkeit)
- TCP Datenaufbereitung mit ACK Verifizierung auf Packetebene
- DNS Rückverfolgung von DNS-Dateien in den Eingabedateien (pcap), nicht vom externen DNS Server.
- Keine Limitierung der Dateigrößen oder der Anzahl zu untersuchender Dateien (Das Limit ist die Festplattengröße)
- IPv4 und IPv6 Unterstützung
- Modularität. Jede Xplico Programmkomponente ist modular aufgebaut. Die Eingabe-Schnittstelle, der Protokoll-Decoder (Dissector) und die Ausgabe-Schnittstelle (Dispatcher) verfügen über Modularität.
- Einfache Möglichkeit eine eigene Ausgabe-Schnittstelle (Dispatcher) zu erstellen und entsprechend zu konfigurieren.
Die neue Version der Open Source Software Xplico unterstützt Ubuntu-Linux ab Vers. 11.04 sowie Fedora-Linux ab Version 13.
Screenshots: