WiresharkでキャプチャしたIPアドレスから国や地域を調べる

Wireshark replacement icon. by ~send on deviantART

WiresharkでキャプチャしたIPアドレスから国や地域を調べる

WiresharkでキャプチャしたIPアドレスから国や地域を調べることが出来るようなので試してみました。

HowToUseGeoIP – The Wireshark Wiki

まず、インストールしてあるWiresharkが、GeoIPをサポートしているかどうかを調べてみます。

「Help」→「About」で、 「with GeoIP」と記載されていればOK。もし、記載が無ければ最新版にUpdateしましょう。

PVS-01

Geoデータベースをインポート

続いて、IPアドレスと国・地域を紐付けるためのデータベースをWiresharkにインポートします。  
データベースには有償版と無償版があります。

・有償版
 MaxMind – Products

・無償版
 Index of /download/geoip/database/

今回は無償版を使ってみます。

上記URLから、「GeoLiteCity.dat.gz」というファイルをダウンロードして、任意のフォルダに展開します。

Wiresharkで、「Edit」→「Preferences…」→「Name Resolution」→「GeoIP database directories」→「Edit…」→「New」で、展開したデータベースフォルダを指定します。

続いて、「Edit」→「Preferences…」→「Protocols」→「IPv4」→「Enable GeoIP lookups」 にチェックを入れます。

PVS-01

キャプチャしてみる

試しに、google.comにアクセスしてみます。

PVS-01

キャプチャ結果のIPフィールドにGeoIPの結果が追加されました。
送信元IPはプライベートアドレスなので「unknown」と表示されていますが、宛先IPはサンフランシスコと表示されています。

Geolocationの情報を差まり画面に表示させたい場合は、「Destination GeoIP Country」や「Destination GeoIP City」を選択し、右クリック→Apply As Columnをクリックすると表示させることが出来ます。

PVS-01

また、Geolocationの結果から、地図上のポイントも表示出来るようです。
方法は、メニューの「Statistics」→「Endpoints」を選択し、IPv4タブを選びGeolocationが表示されているIPアドレスを選択し、「MAP」ボタンを押します。

PVS-01

すると、ブラウザが起動し、マップが表示され該当の場所がポイントされるようです。
残念ながら私の環境ではうまく表示されませんでした。。。

6a00e008d9577088340115717fd1f7970b.png

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

日本語が含まれない投稿は無視されますのでご注意ください。(スパム対策)

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください