Geolocalizando IPs con Wireshark y GeoIP
Wireshark es un analizador de protocolos utilizado para realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de software y protocolos, y como una herramienta didáctica para educación.
GeoIP son una serie de productos, de la casa MaxMind, que te permiten descubrir información relativa a la posición geográfica de una dirección IP específica.
GeoLite y GeoLite2 son una serie de bases de datos gratuitas que nos ayudarán a conocer estos datos. Estas bases de datos se actualizan periódicamente, de forma que si no se actualizan, poco a poco vamos perdiendo precisión, ya que las IPS se van reasignando y una IP que hoy esta en una parte, mañana puede estar en otra. Tienen publicada una tabla que muestra la precisión de dichas georeferencias y dependiendo del país son más o menos fiables.
La unión de estos dos productos nos permite tener una visión geográfica aproximada de lo que se cuece en las conexiones de red que estamos estudiando.
Para ello, primero nos descargamos las bases de datos gratuitas de GeoLite y GeoLite2.
Actualmente son 8:
Ahora configuramos Wireshark
Edit –> Preferences –> Name Resolution –> GeoIP database directory –> Edit
New
Ok. en este punto el directorio por defecto que nos ha dado Wireshark, a día de hoy (Noviembre 2013), da igual la ruta que pongas Wireshark 1.10.3 solo te pondrá ese por defecto.
Aceptamos todo y cerramos Wireshark. Ahora descomprimimos las bases de datos y las colocamos en el directorio que nos ha dado Wireshark.
Para la visualización de los datos GeoIP de una captura, primero realizamos una captura o abrimos un fichero de captura previamente grabado, en el menú Statistics –> Endpoints, veremos como se han añadido a las columnas por defecto, otras como:
- Country
- AS Number
- City
- Latitude
- Longitude
todas correspondientes a los datos obtenidos a través de la geolocalización de GeoIP / GeoLite / GeoLite2.
Si presionamos el botón de MAP nos abrirá una ventana con las ubicaciones. Si presionamos en cada una de ellas nos aparecerá algún dato más.
Si queremos filtrar el tráfico basta con poner algo como:
- ip and not ip.geoip.country == "United States"
- ip.geoip.lat > "66.5"
No hay comentarios:
Publicar un comentario