miércoles, noviembre 20, 2013

Geolocalizando IPs con Wireshark y GeoIP

Wireshark es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica para educación.

GeoIP son una serie de productos, de la casa MaxMind, que te permiten descubrir información relativa a la posición geográfica de una dirección IP específica.

GeoLite y GeoLite2 son una serie de bases de datos gratuitas que nos ayudarán a conocer estos datos. Estas bases de datos se actualizan periódicamente, de forma que si no se actualizan, poco a poco vamos perdiendo precisión, ya que las IPS se van reasignando y una IP que hoy esta en una parte, mañana puede estar en otra. Tienen publicada una tabla que muestra la precisión de dichas georeferencias y dependiendo del país son más o menos fiables.

La unión de estos dos productos nos permite tener una visión geográfica aproximada de lo que se cuece en las conexiones de red que estamos estudiando.

Para ello, primero nos descargamos las bases de datos gratuitas de GeoLite y GeoLite2.

image

 

image

Actualmente son 8:

image

Ahora configuramos Wireshark

image

Edit –> Preferences –> Name Resolution –> GeoIP database directory –> Edit

image

New

image

Ok. en este punto el directorio por defecto que nos ha dado Wireshark, a día de hoy (Noviembre 2013), da igual la ruta que pongas Wireshark 1.10.3 solo te pondrá ese por defecto.

image

Aceptamos todo y cerramos Wireshark. Ahora descomprimimos las bases de datos y las colocamos en el directorio que nos ha dado Wireshark.

image

Para la visualización de los datos GeoIP de una captura, primero realizamos una captura o abrimos un fichero de captura previamente grabado, en el menú Statistics –> Endpoints, veremos como se han añadido a las columnas por defecto, otras como:

  • Country
  • AS Number
  • City
  • Latitude
  • Longitude

todas correspondientes a los datos obtenidos a través de la geolocalización de GeoIP / GeoLite / GeoLite2.

image

Si presionamos el botón de MAP nos abrirá una ventana con las ubicaciones. Si presionamos en cada una de ellas nos aparecerá algún dato más.

image

Si queremos filtrar el tráfico basta con poner algo como:

  • ip and not ip.geoip.country == "United States"
  • ip.geoip.lat > "66.5"