En el anterior artículo dedicado a Wireshark y GeoIP / GeoLite , tratamos la geolocalización a partir de una determinada IP, mostrantdo datos como Paises, Ciudades, Longitud y Latitud, etc, en las estadísticas. Ahora, veremos como Wireshark y Tshark disponen de una serie de Filtros de visualización ( Display Filters ) para GeoIP.
Los distintos filtros para GeoIP son los siguientes:
filtro | tipo de cadena | descripción | versión wireshark
| ip.geoip.asnum | String | Source or Destination GeoIP AS Number | 1.2.1 to 1.2.2 |
| ip.geoip.city | String | Source or Destination GeoIP City | 1.2.1 to 1.2.2 |
| ip.geoip.country | String | Source or Destination GeoIP Country | 1.2.1 to 1.2.2 |
| ip.geoip.dst_asnum | String | Destination GeoIP AS Number | 1.2.1 to 1.2.2 |
| ip.geoip.dst_city | String | Destination GeoIP City | 1.2.1 to 1.2.2 |
| ip.geoip.dst_country | String | Destination GeoIP Country | 1.2.1 to 1.2.2 |
| ip.geoip.dst_isp | String | Destination GeoIP ISP | 1.2.1 to 1.2.2 |
| ip.geoip.dst_lat | String | Destination GeoIP Latitude | 1.2.1 to 1.2.2 |
| ip.geoip.dst_lon | String | Destination GeoIP Longitude | 1.2.1 to 1.2.2 |
| ip.geoip.dst_org | String | Destination GeoIP Organization | 1.2.1 to 1.2.2 |
| ip.geoip.isp | String | Source or Destination GeoIP ISP | 1.2.1 to 1.2.2 |
| ip.geoip.lat | String | Source or Destination GeoIP Latitude | 1.2.1 to 1.2.2 |
| ip.geoip.lon | String | Source or Destination GeoIP Longitude | 1.2.1 to 1.2.2 |
| ip.geoip.org | String | Source or Destination GeoIP Organization | 1.2.1 to 1.2.2 |
| ip.geoip.src_asnum | String | Source GeoIP AS Number | 1.2.1 to 1.2.2 |
| ip.geoip.src_city | String | Source GeoIP City | 1.2.1 to 1.2.2 |
| ip.geoip.src_country | String | Source GeoIP Country | 1.2.1 to 1.2.2 |
| ip.geoip.src_isp | String | Source GeoIP ISP | 1.2.1 to 1.2.2 |
| ip.geoip.src_lat | String | Source GeoIP Latitude | 1.2.1 to 1.2.2 |
| ip.geoip.src_lon | String | Source GeoIP Longitude | 1.2.1 to 1.2.2 |
| ip.geoip.src_org | String | Source GeoIP Organization | 1.2.1 to 1.2.2 |
La manera de aplicarlos es la misma que para cualquier filtro:
Aplicado el filtro aparecerán las trazas correspondientes.
Podríamos usar otro filtro como este para depurar algo más:
ip.geoip.country == «Spain» && ip.geoip.city contains «Barcelona»
Wireshark nos muestra también la información GeoIP en la misma ventana de protocolos, en un campo denominado Source GeoIP:
Podemos hacer uso también de los filtros GeoIP con Tshark en línea de comandos:
Seguridad y Redes 
Pingback: Argus. Auditando el tráfico de red. Parte 6. Argus y Geolocalización con GeoIP. | Seguridad y Redes