Xplico的目标是提取互联网流量并捕获应用数据中包含的信息。

举个例子，Xplico可以在pcap文件中提取邮件内容(通过POP，IMAP，SMTP协议)，所有的HTTP内容，每个VoIP的访问(SIP)，FTP，TFTP等等，但是Xplico不是一个网络协议分析工具。Xplico是一个开源的网络取证分析工具(NFAT)。

特征：

协议支持：HTTP, SIP, IMAP, POP, SMTP, TCP, UDP, IPv6, … ;

针对每个应用协议都有端口独立协议识别(PIPI);

多线程;

支持使用SQLite数据库或者Mysql数据库甚至文件进行数据和信息的输出;

每个数据都由Xplico重新组装，并被关联到能够唯一识别流量的XML文件。Pcap包含重组数据;

支持实时查询细节(能否真的实现取决于流量大小、协议类型和计算机性能-TAM, CPU, HD访问时间等...);

为任何数据包和soft ACK认证使用ACK确认进行TCP重组;

反向DNS查找是查找包含在输入文件(pcap)中的DNS数据包，而不是查找来自外部的DNS服务器;

对输入数据的大小或者输入文件的数量没有限制(仅仅限制了HD的大小);

支持IPv4和IPv6;

模块化。每个Xplico部件都是一个模块。输入接口、协议解码器、输出接口都实现了模块化;

轻松创建任何调度，使用最合适、最有效的方法实现数据分离。

作者：FireFrank

来源：51CTO