Ya he tratado en alguna ocasión el tema de la Geolocalización y GeoIP / GeoLite con Wireshark:
Wireshark. Estadísticas y GeoIP. / Wireshark / Tshark. Filtros GeoIP.
En esta ocasión vamos a mostrar la información de geolocalización con Tshark, es decir sin la GUI Wireshark y usando column.format y proto,colinfo.
Requisitos previos.
En los dos enlaces de más arriba tenéis la forma de configurar Wireshark / Tshark para el uso de geoip y el sitio de descarga de las bases de datos libre para ello.
Además, tendremosque indicar a Tshark la opción -o «ip.use_geoip:TRUE» para «usar» GeoIP.
Tshark GeoIP y column.format.
Como recordaréis, la información mostrada por Tshark puede ser personalizada de diferentes formas, una de ellas es mediante -o column.format.
La sintáxis sería: -o column.format:”»nombrecolumna“, “%formato“”
La información mostradas en las columnas de la salida Tshark incluye, por defecto, información de:
- marca de tiempo
- dirección origen
- dirección destino
- protocolo
- puerto origen
- puerto destino
- información del contenido del paquete
Por ejemplo:
- «No.», «%m
- «Time», «%t»
- «Source», «%s»
- «Destination», «%d»
- «Protocol», «%p»
- «Info», «%i»
De esta forma podemos hacer:
Vimos también que podíamos personalizar aún mas usando el parámetro %Cus para añadir cualquier filtro de visualización Wireshark. Por ejemplo:
.
Pues bien, podemos usar %Cus para mostrar información de geolocalización.
Para ello, os recuerdo, tenéis que indicar, para activar el uso de GeoIP la opción:
- -o «ip.use_geoip:TRUE»
Por ejemplo. Vamos a mostrar información de IP origen, destino y:
- «CITY», «%Cus:ip.geoip.city» ciudad
- «LATITUD», «%Cus:ip.geoip.lat» latitud
Otro ejemplo mostrando ciudad, pais, latitud y longitud:
.
Tshark GeoIP y protoco colinfo.
En su momento, ya dijimos que proto,colinfo añadía información sobre protocolos, etc a los paquetes capturados. Así que un ejemplo para el uso de GeoIP sería (pinchar para agrandar):
Filtros y estádisticas.
Evidentemente podemos hacer uso de estádistas, filtros, etc. Por ejemplo:
-
ip.geoip.country contains "Spain"
-
ip.geoip.lat < 40
Por ejemplo:
C:\>tshark -i4 -o «ip.use_geoip:TRUE» -z proto,colinfo,ip.geoip.country,ip.geoip.country -R ip.geoip.lat < 40
También podemos generar estádisticas por ciudades, paises y usar MIN, MAX, COUNT, AVG, (Tshark, Wireshark en línea de comandos. (VI Parte.) Avanzando en filtros, Estadísticas, COUNT, SUM, MIN, MAX y AVG.):
- «COUNT(ip.geoip.country)ip.geoip.country contains «Spain»
===========
Hasta aquí por hoy. Hasta la próxima.
Pingback: Tshark. Follow TCP Stream en modo CLI mediante estadísticas tshark. | Seguridad y Redes
Pingback: Argus. Auditando el tráfico de red. Parte 6. Argus y Geolocalización con GeoIP. | Seguridad y Redes