El objetivo de Xplico es extraer de una captura de tráfico de red los datos de las aplicaciones que contienen.

Por ejemplo, de un archivo pcap, Xplico extrae cada correo electrónico (protocolos POP, IMAP y SMTP), todo el contenido HTTP, cada llamada VoIP (SIP), FTP, TFTP, etc. Xplico no es un analizador de protocolos de red. Xplico es una herramienta de análisis forense de red (NFAT) de código abierto.

Xplico tiene una serie de características:

• Protocolos soportados: HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6…
• Identificación de protocolo independiente de puerto (PIPI) para cada protocolo de aplicación.
• Multihilo.
• Salida de datos e información en la base de datos SQLite o la base de datos Mysql y archivos.
• A cada dato reensamblado por Xplico se le asocia un archivo XML que identifica de manera única los flujos y el pcap que contiene los datos reensamblados.
• Elaboración en tiempo real (depende del número de flujos, de los tipos de protocolos y del rendimiento del ordenador -RAM, CPU, tiempo de acceso HD…
• Reensamblaje de TCP con verificación ACK para cualquier paquete o verificación ACK suave.
• Búsqueda de DNS inversa desde paquetes DNS contenidos en los archivos de entrada (pcap), no desde un servidor DNS externo.
• No hay límite de tamaño para la entrada de datos o el número de archivos de entrada (el único límite es el tamaño de HD).
• Compatibilidad con IPv4 e IPv6.
• Modularidad: cada componente de Xplico es modular. La interfaz de entrada, el decodificador de protocolo (Disector) y la interfaz de salida son todos módulos.

Tras haber trabajado con Wireshark, veremos Xplico, que incorpora una interfaz más amistosa para filtrar el tipo de datos que buscamos en el tráfico analizado de la red.