Espionaje
Ciberseguridad

Geolocalizando IPs con Wireshark y GeoIP (Parte II)

Utilizamos Wireshark y las bases de datos GeoIp para geo localizar conexiones.

mundo

En el artículo anterior habíamos descargado las bases de datos de GeoIP de localización, en este vamos a configurar Wireshark para que las utilice y descubrir la localización geográfica de las conexiones.

Para configurar las bases de datos, abrimos Wireshark.

 

Edit –> Preferences –> Name Resolution –> GeoIP database directory –> Edit

 

 

 

 

 

New

 

 

 

 

Ok. En este punto el directorio por defecto que nos ha dado Wireshark, da igual la ruta que pongas Wireshark 1.10.3 solo te pondrá ese por defecto.

 

 

 

 

 

Aceptamos todo y cerramos Wireshark. Ahora descomprimimos las bases de datos y las colocamos en el directorio que nos ha dado Wireshark

 

Para la visualización de los datos GeoIP de una captura, primero realizamos una captura o abrimos un fichero de captura previamente grabado, en el menú Statistics –> Endpoints, veremos cómo se han añadido a las columnas por defecto, otras como:

  • Country
  • AS Number
  • City
  • Latitude
  • Longitude

 

Todas correspondientes a los datos obtenidos a través de la geolocalización de GeoIP / GeoLite / GeoLite2.

  •  

 

 

 

 

 

 

Si presionamos el botón de MAP nos abrirá una ventana con las ubicaciones.

Si presionamos en cada una de ellas nos aparecerá algún dato más.

 

 

 

 

 

 

 

Y si queremos filtrar el tráfico, basta con poner algo como:

  • ip and not ip.geoip.country == "United States"
  • ip.geoip.lat > "66.5"

 

 

 

 

 

 

Tomás Isasia Infante

Padre, emprendedor, innovador, experto en consultoría tecnológica, divulgador de seguridad IT, chef y jugador de golf ocasional. Madrid, España.

 



Revistas Digitales

DealerWorld Digital

 

También es noticia...

Documentos Computerworld

Registro:

Eventos: