Wireshark con GeoIP

by admin on Jan.30, 2010, under Hacking, Linux, Networking, Sicurezza, Tools

Dalla versione 1.1.2, Wireshark può utilizzare i databases di MaxMind, GeoIP (a pagamento), e GeoLite (gratuito) per poter far corrispondere indirizzi IP a nazioni e località, oltre ad altre utili informazioni, come gli AS numbers.

Le informazioni su tutte le locazioni conosciute degli indirizzi IP rilevati possono poi essere automaticamente osservate su una mappa.

Questa nuova potente funzionalità di Wireshark dipende dal relativo supporto geoip, la cui presenza può essere facilmente controllata, a carico del pacchetto installato, cliccando su Help -> About Wireshark.

La scheda Wireshark che immediatamente si presenta nella finestra che si apre, dovrebbe specificare se il programma è stato compilato col supporto GeoIP.

wshark_geoip1

Se così non fosse può essere una buona occasione per aggiornare la versione a propria disposizione, che non è proprio detto che sia molto recente, per talune distribuzioni linux.
Al momento in cui scrivo la release corrente “stable” di Wireshark è la 1.2.6 (mentre quella di sviluppo è la 1.3.2).

Una volta scompattata in una directory, diciamo /opt/wshark/, va utilizzata la canonica sequenza:
# cd /opt/wshark # ./configure # make # make install
rispettando il prerequisito fondamentale che sia presente il package libgeoip-dev (nel caso di Debian).
La necessità di specifici prerequisiti per il supporto alle varie funzionalità possibili è già evidente al termine del comando ./configure, ed occorre pertanto comportarsi di conseguenza.

Una volta pronto Wireshark, occorre effettuare il download dei seguenti database, che per inciso vengono aggiornati mensilmente, da un server di maxmind:
#cd /usr/share/geoip # wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz # wget http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz # wget http://geolite.maxmind.com/download/geoip/database/asnum/GeoIPASNum.dat.gz
archiviandoli in una specifica directory, ad esempio /usr/share/geoip/, dove dovranno essere decompressi:
# gunzip *
Ora occorre avviare Wireshark e andare su Edit -> Preferences -> Name Resolution -> GeoIP database directories e infine il pulsante Edit.

Quindi definire una nuova path alla directory dei databases, che nel nostro caso abbiamo detto essere /usr/share/geoip.

Per attivare la modifica occorre chiudere Wireshark e lanciarlo nuovamente.

Le informazioni GeoIP sono ora disponibili nel pannello dei dettagli circa il pacchetto in esame, ma perché ciò sia effettivamente attivo occorre ancora andare su Edit -> Preferences -> Protocols -> IP e selezionare Enable GeoIP lookups, o in alternativa cliccare col tasto destro sulla sezione Internet Protocol nel pannello dei Packet Details e selezionare Protocol preferences -> Enable GeoIP lookups.

Le informazioni GeoIP si possono ottenere anche nella finestra Endpoints:

Occorre andare su Statistics -> Endpoints List per aprire la finestra Endpoints.
Le informazioni GeoIP sono disponibili per ciascun protocollo della lista, che preveda un indirizzo IP: es. IPv4, TCP, UDP.

wshark_geoip2

Per aprire, nel webbrowser di default, che necessita del supporto javascript abilitato, la mappa relativa alle varie locazioni IP Location occorre selezionare il pulsante Map (selezionando però come protocollo IPv4).

wshark_geoip3
Per ottenere informazioni dettagliate basta cliccare sui marcatori.