WiresharkでキャプチャしたIPアドレスから国や地域を調べる
WiresharkでキャプチャしたIPアドレスから国や地域を調べる
WiresharkでキャプチャしたIPアドレスから国や地域を調べることが出来るようなので試してみました。
HowToUseGeoIP – The Wireshark Wiki
まず、インストールしてあるWiresharkが、GeoIPをサポートしているかどうかを調べてみます。
「Help」→「About」で、 「with GeoIP」と記載されていればOK。もし、記載が無ければ最新版にUpdateしましょう。
Geoデータベースをインポート
続いて、IPアドレスと国・地域を紐付けるためのデータベースをWiresharkにインポートします。
データベースには有償版と無償版があります。
・有償版
MaxMind – Products
・無償版
Index of /download/geoip/database/
今回は無償版を使ってみます。
上記URLから、「GeoLiteCity.dat.gz」というファイルをダウンロードして、任意のフォルダに展開します。
Wiresharkで、「Edit」→「Preferences…」→「Name Resolution」→「GeoIP database directories」→「Edit…」→「New」で、展開したデータベースフォルダを指定します。
続いて、「Edit」→「Preferences…」→「Protocols」→「IPv4」→「Enable GeoIP lookups」 にチェックを入れます。
キャプチャしてみる
試しに、google.comにアクセスしてみます。
キャプチャ結果のIPフィールドにGeoIPの結果が追加されました。
送信元IPはプライベートアドレスなので「unknown」と表示されていますが、宛先IPはサンフランシスコと表示されています。
Geolocationの情報を差まり画面に表示させたい場合は、「Destination GeoIP Country」や「Destination GeoIP City」を選択し、右クリック→Apply As Columnをクリックすると表示させることが出来ます。
また、Geolocationの結果から、地図上のポイントも表示出来るようです。
方法は、メニューの「Statistics」→「Endpoints」を選択し、IPv4タブを選びGeolocationが表示されているIPアドレスを選択し、「MAP」ボタンを押します。
すると、ブラウザが起動し、マップが表示され該当の場所がポイントされるようです。
残念ながら私の環境ではうまく表示されませんでした。。。
