2022.12.09. 최초 작성
와이어샤크를 이용해 패킷을 분석하다 보면 수많은 IP주소가 어느 지역인지 알고 싶을 때가 있다. 네트워크 해킹이 의심되는 패킷을 분석할 때는 지역도 중요한 정보이기 때문이다.
IP 주소를 위도/경도 좌표로 매핑하는 것을 GeoIP라고 한다. 특별한 기술은 아니고 IP주소와 위도/경도 좌표와 지역 주소를 데이터베이스로 관리하는 것이다.
와이어샤크에서 Endpoints 메뉴가 있는데 여기서 통신하는 대상별로 통계를 보여줘서 분석에 도움을 받을 수 있다. 그런데 IP주소와 Mac 주소로만 나와서 지역을 알 수 없는데 GeoIP 데이터베이스를 연결하면 지역 주소를 알려주는 기능이 있다.
GeoIP 데이터베이스 연결 방법은 와이어샤크 위키 페이지에 소개되어 있다.
https://wiki.wireshark.org/HowToUseGeoIP
HowToUseGeoIP
How To Use GeoIP With Wireshark MaxMind produces databases and software for geolocation. Wireshark 2.6 and up can use MaxMind's GeoIP2 (purchase) and GeoLite2 (free) databases to look up the city, country, AS number, and other information for an IP address
wiki.wireshark.org
maxmind 홈페이지에서 회원가입 후 무료로 다운로드 받을 수 있다.
GeoLite2 ASN, GeoLite2 City, GeoLite2 Country 3개의 데이터베이스를 다운로드 받는다.
https://dev.maxmind.com/geoip/geoip2/geolite2/
GeoLite2 Free Geolocation Data
Develop applications using industry-leading IP intelligence and risk scoring.
dev.maxmind.com
Edit --> Preferences --> Name Resolution --> MaxMind database directories 메뉴의 Edit 버튼을 눌러 다운로드 받은 3개의 데이터베이스가 있는 폴더를 선택 후 확인한다.


와이어샤크를 재실행하고 패킷 캡처 후 Endpoints 메뉴에 들어가면 기존에는 비활성화 되어 있던 map 버튼이 활성화 되어 있고 지역 정보에 내용이 표시되어있는 것을 확인할 수 있다.

Map --> Open in browser 버튼을 누르면 브라우저를 통해 세계지도에 표시된 지역 위치 정보를 확인할 수 있다.

지도 데이터베이스를 추가하면 디스플레이 필터에서 아래 예제처럼 지역 정보를 통한 필터링이 가능하다.
ip and not ip.geoip.country == "United States"
ip.geoip.lat > 66.5
'네트워크' 카테고리의 다른 글
wireshark를 이용한 TCP 프로토콜 분석하기 2 (3 Way Handshake) (0) | 2022.12.13 |
---|---|
wireshark를 이용한 TCP 프로토콜 분석하기 1 (Window Size Scaling) (0) | 2022.12.13 |
분석용 패킷 샘플 제공 사이트 소개 (0) | 2022.12.12 |
wireshark를 이용한 패킷 분석하기 1(디스플레이 필터) (0) | 2022.12.08 |
wireshark를 이용한 패킷 캡처하기 (2) | 2022.12.06 |