xplico的目标是提取網際網路流量并捕獲應用資料中包含的資訊。
舉個例子,xplico可以在pcap檔案中提取郵件内容(通過pop,imap,smtp協定),所有的http内容,每個voip的通路(sip),ftp,tftp等等,但是xplico不是一個網絡協定分析工具。xplico是一個開源的網絡驗證分析工具(nfat)。
特征:
協定支援:http, sip, imap, pop, smtp, tcp, udp, ipv6, … ;
針對每個應用協定都有端口獨立協定識别(pipi);
多線程;
支援使用sqlite資料庫或者mysql資料庫甚至檔案進行資料和資訊的輸出;
每個資料都由xplico重新組裝,并被關聯到能夠唯一識别流量的xml檔案。pcap包含重組資料;
支援實時查詢細節(能否真的實作取決于流量大小、協定類型和計算機性能-tam, cpu, hd通路時間等...);
為任何資料包和soft ack認證使用ack确認進行tcp重組;
反向dns查找是查找包含在輸入檔案(pcap)中的dns資料包,而不是查找來自外部的dns伺服器;
對輸入資料的大小或者輸入檔案的數量沒有限制(僅僅限制了hd的大小);
支援ipv4和ipv6;
子產品化。每個xplico部件都是一個子產品。輸入接口、協定解碼器、輸出接口都實作了子產品化;
輕松建立任何排程,使用最合适、最有效的方法實作資料分離。
作者:firefrank
來源:51cto