Wireshark com GeoIP

Antes de prosseguir, verifique se o Wireshark foi compilado com suporte ao GeoIP (help – about wireshark).

No momento da compilação, o próprio configure já procura estas bibliotecas no sistema. Caso vc não a possua, instale o pacote GeoIP (sbopkg -i GeoIP)
Agora, baixe as APIs do open source GeoIP em  http://www.maxmind.com

GeoLite City – http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
GeoLite Country – http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
GeoLite ASN – http://geolite.maxmind.com/download/geoip/database/asnum/GeoIPASNum.dat.gz

Crie um diretório para descompactar as APIs, que em seguida serão linkadas no Wireshark.

mkdir /etc/wireshark/GeoIP
cp *.gz /etc/wireshark/GeoIP/
cd /etc/wireshark/GeoIP
gunzip *.gz

No Wireshark, vá em edit  – preferences – name resolution – GeoIP e adicione os paths das APIs. /etc/wireshark/GeoIP
e habilite em preferences – protocols – ipv4 – Enable GeoIP lockups

No seu próximo sniff, vá em statistics – endpoints – filtro desejado serão exibidas infos de latitude e longitude, conforme a imagem abaixo.

Clicando em Map, será gerado um arquivo temporário contendo a geoposição dos IPs capturados.

baseado em : https://learningnetwork.cisco.com/blogs/vip-perspectives/2010/12/11/geolocation-in-wireshark


About this entry