Geolocalizando IPs con Wireshark y GeoIP (Parte II)
Utilizamos Wireshark y las bases de datos GeoIp para geo localizar conexiones.
En el artículo anterior habíamos descargado las bases de datos de GeoIP de localización, en este vamos a configurar Wireshark para que las utilice y descubrir la localización geográfica de las conexiones.
Para configurar las bases de datos, abrimos Wireshark.
Edit –> Preferences –> Name Resolution –> GeoIP database directory –> Edit |
New |
Ok. En este punto el directorio por defecto que nos ha dado Wireshark, da igual la ruta que pongas Wireshark 1.10.3 solo te pondrá ese por defecto. |
Aceptamos todo y cerramos Wireshark. Ahora descomprimimos las bases de datos y las colocamos en el directorio que nos ha dado Wireshark |
Para la visualización de los datos GeoIP de una captura, primero realizamos una captura o abrimos un fichero de captura previamente grabado, en el menú Statistics –> Endpoints, veremos cómo se han añadido a las columnas por defecto, otras como:
Todas correspondientes a los datos obtenidos a través de la geolocalización de GeoIP / GeoLite / GeoLite2. |
Si presionamos el botón de MAP nos abrirá una ventana con las ubicaciones. Si presionamos en cada una de ellas nos aparecerá algún dato más.
|
Y si queremos filtrar el tráfico, basta con poner algo como:
|
Tomás Isasia InfantePadre, emprendedor, innovador, experto en consultoría tecnológica, divulgador de seguridad IT, chef y jugador de golf ocasional. Madrid, España. |