네트워크

wireshark를 이용한 패킷 분석하기 2(Endpoints Map)

swedu 2022. 12. 9. 05:45
728x90
반응형

 

2022.12.09. 최초 작성

 

 

 

 

와이어샤크를 이용해 패킷을 분석하다 보면 수많은 IP주소가 어느 지역인지 알고 싶을 때가 있다. 네트워크 해킹이 의심되는 패킷을 분석할 때는 지역도 중요한 정보이기 때문이다.

 

IP 주소를 위도/경도 좌표로 매핑하는 것을 GeoIP라고 한다. 특별한 기술은 아니고 IP주소와 위도/경도 좌표와 지역 주소를 데이터베이스로 관리하는 것이다.

 

와이어샤크에서 Endpoints 메뉴가 있는데 여기서 통신하는 대상별로 통계를 보여줘서 분석에 도움을 받을 수 있다. 그런데 IP주소와 Mac 주소로만 나와서 지역을 알 수 없는데 GeoIP 데이터베이스를 연결하면 지역 주소를 알려주는 기능이 있다.

 

GeoIP 데이터베이스 연결 방법은 와이어샤크 위키 페이지에 소개되어 있다.

 

https://wiki.wireshark.org/HowToUseGeoIP

 

HowToUseGeoIP

How To Use GeoIP With Wireshark MaxMind produces databases and software for geolocation. Wireshark 2.6 and up can use MaxMind's GeoIP2 (purchase) and GeoLite2 (free) databases to look up the city, country, AS number, and other information for an IP address

wiki.wireshark.org

 

 

 

 

maxmind 홈페이지에서 회원가입 후 무료로 다운로드 받을 수 있다.

GeoLite2 ASN, GeoLite2 City, GeoLite2 Country 3개의 데이터베이스를 다운로드 받는다.

 

https://dev.maxmind.com/geoip/geoip2/geolite2/

 

GeoLite2 Free Geolocation Data

Develop applications using industry-leading IP intelligence and risk scoring.

dev.maxmind.com

 

 

Edit --> Preferences --> Name Resolution --> MaxMind database directories 메뉴의 Edit 버튼을 눌러 다운로드 받은 3개의 데이터베이스가 있는 폴더를 선택 후 확인한다.

 

 

[그림1] MaxMind database 설정 메뉴
 
 
[그림2] 데이터베이스 파일이 저장된 경로 추가
 

 

 

 

와이어샤크를 재실행하고 패킷 캡처 후 Endpoints 메뉴에 들어가면 기존에는 비활성화 되어 있던 map 버튼이 활성화 되어 있고 지역 정보에 내용이 표시되어있는 것을 확인할 수 있다.

 

[그림3] Endpoints 기능에 활성화된 Map 버튼

 

 

Map --> Open in browser 버튼을 누르면 브라우저를 통해 세계지도에 표시된 지역 위치 정보를 확인할 수 있다.

 
[그림4] 세계지도에 표시된 ip의 위치 정보
 
 

 

지도 데이터베이스를 추가하면 디스플레이 필터에서 아래 예제처럼 지역 정보를 통한 필터링이 가능하다.

 

 

ip and not ip.geoip.country == "United States"

 

ip.geoip.lat > 66.5

 
 
 
 
728x90
반응형
 
728x90
반응형