Xplico – comment mieux visualiser le résultat de vos sniffs

Si vous avez pour habitude de sniffer ce qui passe sur votre réseau, vous chopez probablement un sacré mal de crane à analyser toutes les trames récupérées par votre sniffeur (genre avec Wireshark). Heureusement, il existe un petit outil baptisé Xplico qui permet d'extraire le contenu de ces trames récupérées en live via votre carte réseau ou uploadées dans un fichier pcap...

capture 21 06 2010 1223 Xplico comment mieux visualiser le résultat de vos sniffs

capture 21 06 2010 1259 Xplico comment mieux visualiser le résultat de vos sniffs

Xplico est capable d'afficher de manière compréhensible les emails (Pop3, imap, smtp et webmails), le contenu HTTP (images, vidéos, texte...), les appels VoIP (Sip, Rtp) et les classiques FTP, Tftp, TCP/UDP, mms, telnet, IRC mais aussi Facebook ! Xplico fonctionne en multithreading et dispose d'une base SQL. Chaque donnée déchiffrée par xplico est associée à un fichier XML unique (pour le stockage de la trame) et xplico supporte aussi bien l'IPv4 que l'IPv6.

capture 21 06 2010 1332 Xplico comment mieux visualiser le résultat de vos sniffs

capture 21 06 2010 1447 Xplico comment mieux visualiser le résultat de vos sniffs

Xplico est bien sûr sous licence GPL et dispo en téléchargement ici pour tous les OS (y'a des .deb aussi) et vous trouvez aussi des images VirtualBox embarquant une version modifiée d'Ubuntu + xplico 0.5.7

cap 2010 06 21 à 21.33.35 Xplico comment mieux visualiser le résultat de vos sniffs

[Source et photo]

Je vous recommande aussi la lecture des sujets suivants

Aucun trouvé

Faites un lien vers cette news sur votre site

Une information, une correction, un complément à ajouter en privé ? Envoyez moi un petit mail à blog@korben.info. N'hésitez pas aussi à faire un tour sur Twitter, le forum, Google+ ou encore Facebook pour d'autres news.

Boni Be Good
M’en vais le tester fissa !
Merci Korben !
Ca va être bien pratique !
http://geek.clickonmylinks.fr Ptitkarl
Sympathique, j’espère qu’il sera intégré dans la suite Backtrack ^^
Bjnn
Merci de l’info !
C’est le genre d’outils qui simplifie la vie !
@Korben :
Par contre tu sais que tu peux mettre le bouton HOME à gauche de ta barre de navigation dans chrome/chronium en allant dans :
options > options de base > « afficher le bouton Accueil dans barre d’outils »
Jvois que tu l’as pas mis et perso j’ai du mal à m’en passer ^^
Gianluca
Hi Korben,
thanks for your post about Xplico.
Xplico is present in these distributions:
DEFT Linux: http://http://www.deftlinux.net/
BackTrack: http://www.backtrack-linux.org/
Orion Incident Response Live CD: http://www.sans.org/reading_room/whitepapers/incident/
Matriux: http://www.matriux.com/
Ciao.
Gianluca
BeNrOo
Assez lourd les fichiers quand même ^_^
vomitoo
si qqun arrive a en faire un package deb pour x64, je suis preneur…
/me fail.
http://wiki.xplico.org/doku.php?id=doing_a_deb_package
exdeus
Tu peux forcer l’architecture avec
sudo dpkg -i –force-architecture paquet.deb
Cyril
Cooll Vais tester çà
vomitoo
@exdeus: genial! reste juste quelques dependances a installer mais ca ne devrait pas poser de pb. merci
http://www.geeksleague.be wally
C’est quoi un sniffer ?
fr3d0
@wally:
Un mec qui prends de la cocaine LOL
><
https://secure.wikimedia.org/wikipedia/fr/wiki/Packet_sniffer
http://cardtricks.makyoto.fr MaKyOtO
Downloaded on BT
Riri
Tu dis qu’il est dispo pour tous les OS, mais je ne le vois que pour linux, est-ce que c’est un abus de langage et tu voulais dire « tous les linux » ou alors il est vraiment dispo pour tous les OS et j’ai de la ***** dans les yeux ? ^^
http://teabo.over-blog.com/ Tea-bo
Ça va me rendre de grands services ça !! Merci
fr3d0
@Riri:
Je pense qu’il parle du fait qu’il soit sous virtual box ?
julien
Il s’agit plutôt d’une debian 5.0. La maman d’ubuntu.
Super utile comme log merci!
juliendangers
woouaaa merci!
Je l’avais vu mais jamais pensé à l’essayer! Tu m’as convaincu =)
http://raylook.blogspot.com raylook
merci korben , très intréssant mais pas révolutionnaire
http://blog.nicolargo.com/ Nicolargo
En bonus, un test un peu plus poussé:
http://blog.nicolargo.com/2010/06/xplico-le-compagnon-ideal-de-wireshark.html
A+
http://www.wifi-securite.com Wifi-Securite.com
Effectivement, à voir à l’usage si c’est plus intéressant que d’autres outils. Visuellement en tout cas (sans l’avoir encore testé), c’est plutôt attractif.
Merci pour l’info !
http://fajr.6te.net Fajr Breeze – Yuxx
C’est vraiment pratique, quid à la tester
aLeX
Je suis entrain de tester, et je dois avouer que ça marche bien, seulement, je n’arrive pas a ressortir la totalité des informations qui circulent sur mon réseau (je suis en entreprise) et je ressors seulement les sites visités à partir de mon PC, y-a-t-il une configuration a faire…?
Bjnn
@aLeX:
Si t’es sur du wifi faut faire du monitoring,
Si t’es en ethernet ça dépend de l’installation, hub/switch …
aLeX
Je suis en filaire, et il y a plusieurs sous réseaux, seulement il ya plusieurs machines sur le même sous-réseau, mais je ne vois pas les sites qu’ils visitent (big brother inside :p )
http://www.info-maison-de-retraite.fr yves
@alex : j’ai exactement le même souci !
aLeX
On dirait qu’il ne ressort seulement les site que l’on visite, et non la totalité, comme si il ne sniffait seulement ce qui sort de notre carte…Je dois me tromper je pense…
Jack
Non c’est normal, si t’es sur un switch il sniffera que ce qui passe par ta carte, ou alors tu peux activer le port mirroring sur ton switch comme ça tu sniffera « tout » le réseau
aLeX
Mais pourquoi avec des sniffeurs comme WireShark, ou bien NMAP j’arrive a avoir tout le réseau?!
aLeX
@aLeX: Même si NMAP est un scanner…
Jack
Mmm bizarre alors, je viens de tester et moi ça fonctionne impec donc la je vois pas vraiment oO tu as testé recemment avec Wireshark?
aLeX
@Jack: Bon je viens de demander à un collègue, et il m’a confirmé ce que Jack disait,le fait d’être sur un switch implique que je ne peux seulement surveillé se qui se passe sur ma carte…
Minipipo1
J’ai pas réussi à l’utiliser, après avoir installé le .deb, je fais quoi ? Ya une adresse à atteindre genre « localhost » ? Il faut configurer quelque chose en console avant ?
http://blog.info16.fr bartounet
oula quand on utilise ce genre d’outil faut connaitre un minimum les protocoles et matériels réseaux
Quand tu es relié à un switch seuls les paquets vous étant destinés arrivent sur votre port éthernet. vous voyez donc vos paquets mais aussi les broadcast du sous réseau en question.
Pour voir tous les paquets il faut que tous les postes soient reliés à un hub… qui lui envoi la totalité de tous les paquets sur tous ses ports…
Mais bon en entreprise, le plus réaliste est d’utiliser les fonction avancés de vos switchs.. avec du port miroring.
C’est comme ca que je l’utilise, je miror tous les paquets transitant par le switch sur un seul port.
Minipipo1
Bon j’ai trouvé comment faire (désolé )
Mais j’ai un autre problème, je n’arrive pas à générer un fichier pcap avec Wireshark ?? Je ne sais pas, pour moi faut aller dans le menu : File -> Export -> (c’est là que je bloque, je les ai (presque) tous essayés).
HuHo
Il n’y a pas de version Windows, ou alors en disant « tous les OS » Korben parlait de l’image virtuelle ?
Pilip
Je crois en effet que tous les OS = VirtualBox ^^
lordjerem
Quand on a une distribution x64, on fait comment ?
Trust
petit outil trés sympa
merci tonton !
Keupsonite
Parfait sa ! Merci korben !!
skaa
@alex : Vu que ton réseau est switché, il faut que tu fasses du MITM si tu veux jouer au big brother.
sinon pour Xplico, ça a l’air bien sympa. Jusqu’à présent je me satisfaisais de la visualisation et des filtres offerts par Wireshark, mais c’est vrai qu’Xplico a l’air d’apporter une bonne valeur ajoutée. Je vais tester ça dès que j’ai un peu de temps.
Cyph3r
Merci tonton de nous trouver de petits programmes sympathiques
http://www.restomoulinepinay.com Fred
Très pratique cela !! Merci encore !!
Charly III
Remember there is also a forum of specialized support of Xplico at http://forum.xplico.org
A part of this, if you want to get more data, disable « checksum validation » (http://wiki.xplico.org/doku.php?id=tips_tricks)
LOBOGRAPHIK
Hello
ça marche pas sous Xp ???
pas vu de lien de téléchargement ?
Charly III
@LOBOGRAPHIK in Windows XP you can use VirtualBox.org (so you have to download the virtualbox image).
Escadron
@Bjnn:
Un ALT+Home fait très bien l’affaire.
greg
Bonjour,
Dans le but de voir tous les paquets de mon reseau wifi j ai configure ma carte en mode RFMON avec la commande iwconfig ra0 mode monitor
Et l option Promiscuous est active dans Wireshark
Comme lu dans la doc a la page http://wiki.wireshark.org/CaptureSetup/WLAN ma carte ne gere plus certain protocole, par exemple celui du DNS, je pense donc que la commande a bien fonctionne.
Cependant, lorsque je lance une capture je ne recois que des paquets de ce genre la
http://pics.imagup.com/ano1/1277653845.png
Merci
fred
Installé sous virtualbox. bon install simple et facile, de ce coté la pas de probleme.
Par contre, le soft est vite limité : il ne ressort pas les erreurs sur le réseau – de type paquet mal formé – etc.
moi j’utilise wireshark quand j’ai des pbs de perf et de sécurité et non pas pour voir ce que les collègues font, alors évidemment, xplico il ne ressort pas les infos que je cherche. dommage. rien a foutre de voir les images qui circulent . par contre detecter que telle machine a un cable qui foire la oui. et xplico est loin de m’aider sur ca plan la.
Pingback: Planete2Geek » Fuck Xplico !
http://www.buybooksforipad.org buy ebooks for ipad
Yemek tarifi almak istiyorsaniz bu web sitesini ziyaret etmelisiniz.