Administra tu Blog

¡Crea tu Blog Ya! Fácil y Gratis

Wireshark. Estadísticas y GeoIP.

alfonn 27-10-2009 GTM 1 @ 13:45

GeoIP es un recurso que nos sirve para, a partir de una determinada IP, saber la ubicación geográfica correspondiente. Podemos usar GeoIP con ASP, con APIs, puede integrarse en un Web Server, etc. Pero lo más importante para nosotros es su integración con Wireshark. Para ello usaremos la versión gratuíta GeoLite.

geoip golite wireshark

Descarga y ubicación de bases de datos GeoIp.

Necesitamos las siguientes bases de datos:

Creamos una carpeta, por ejemplo C:\Archivos de programa\Wireshark\goip y volcamos ahílos ficheros dat descargados.

Configuración  Wireshark para GeoIP.

En el menú Edit > Preferences > Name Resolution, a la derecha tenemos GeoIP database directories, pulsamos el botón Edit y se nos  abre una ventana GeoIP Database Paths, pulsamos New e introducimos la ruta (C:\Archivos de programa\Wireshark\goip) donde descargamos las base de datos GeoIP:

wireshark preferencias geoip

Ahora nos situamos dentro de la ventana de detalles del protocolo, en Internet Protocol, botón derecho del ratón y Protocol preferences... marcamos la opción Enable GeoIP lookups:

activar geoip en wireshark prefrencias del protocolo

Ya tenemos configurado Wwireshark para GeoIP.

Visualización de los datos GeoIP de una captura.

Realizamos una captura o abrimos un fichero de captura previamente grabado.

En el menú Statistics > Endpoints, se nos abre la ventana en la cual seleccionamos la pestaña IPv4. Veremos como se han añadido a las columnas por defecto, otras como:

  • Country
  • AS Number
  • City
  • Latitude
  • Longitude

todas correspondiente a los datos obtenidos a través de la Geolocalización de GeoIP / GeoLite.

NOTA: En esta captura desplazo la barra para ver solo los datos de GeoIP. pero tenemos las IP (Address), Paquetes, Bytes, etc, etc :

wirechark geoip geolite endopoints muestra de datos feolocalizacion

En esta misma ventana de Endpoints, vemos un botón: Map. Si pulsamos en Map, se nos abrirá nuestro navegador por defecto desplegando un mapa (similar a google maps) con la localización geográfica de las IP:

geoip localizacion en mapa de las ips en wireshark

----------------------------------------------------------------

Para la próxima haremos una reseña a los filtros Geoip con opciones para filtrar por lo calización ciudad, etc.

Tags:
MeneameMeneame | del.icio.us

No hay Comentarios »

TrackBack URI

Dejar un Comentario


<a href> <em> <blockquote> <strong> <cite> <code> <ul> <li> <dl> <dt> <dd>