Tshark. GeoIP / Geolocalización usando Column format y proto,colinfo.

Publicado el 14 abril, 2011 por Alfon

Ya he tratado en alguna ocasión el tema de la Geolocalización y GeoIP / GeoLite con Wireshark:

Wireshark. Estadísticas y GeoIP. / Wireshark / Tshark. Filtros GeoIP.

    En esta ocasión vamos a mostrar la información de geolocalización con Tshark, es decir sin la GUI Wireshark y usando column.format y proto,colinfo.

    Requisitos previos.

    En los dos enlaces de más arriba tenéis la forma de configurar Wireshark / Tshark para el uso de geoip y el sitio de descarga de las bases de datos libre para ello.

    Además, tendremosque indicar a Tshark la opción -o «ip.use_geoip:TRUE» para «usar» GeoIP.

    Tshark GeoIP y column.format.

    Como recordaréis, la información mostrada por Tshark puede ser personalizada de diferentes formas, una de ellas es mediante -o column.format.

    La sintáxis sería: -o column.format:”»nombrecolumna“, “%formato“”

    La información mostradas en las columnas de la salida Tshark incluye, por defecto, información de:

    • marca de tiempo
    • dirección origen
    • dirección destino
    • protocolo
    • puerto origen
    • puerto destino
    • información del contenido del paquete

    Por ejemplo:

    • «No.», «%m
    • «Time», «%t»
    • «Source», «%s»
    • «Destination», «%d»
    • «Protocol», «%p»
    • «Info», «%i»

    De esta forma podemos hacer:

    colmorm_011.png

    Vimos también que podíamos personalizar aún mas usando el parámetro %Cus para añadir cualquier filtro de visualización Wireshark. Por ejemplo:

    column.format %Cus tshark

    .

    Pues bien, podemos usar %Cus para  mostrar información de geolocalización.

    Para ello, os recuerdo, tenéis que indicar, para activar el uso de GeoIP la opción:

    • -o «ip.use_geoip:TRUE»

    Por ejemplo. Vamos a mostrar información de IP origen, destino y:

    • «CITY», «%Cus:ip.geoip.city» ciudad
    • «LATITUD», «%Cus:ip.geoip.lat» latitud

    geoip_col_02.png

    Otro ejemplo mostrando ciudad, pais, latitud y longitud:

    geoip_col_03.png

    .

    Tshark GeoIP y protoco colinfo.

    En su momento, ya dijimos que proto,colinfo añadía información sobre protocolos, etc a los paquetes capturados. Así que un ejemplo para el uso de GeoIP sería (pinchar para agrandar):

    geoip_col_04.png

    Filtros y estádisticas.

    Evidentemente podemos hacer uso de estádistas, filtros, etc. Por ejemplo:

    • ip.geoip.country contains "Spain"
    • ip.geoip.lat < 40

    Por ejemplo:

    C:\>tshark -i4 -o «ip.use_geoip:TRUE» -z proto,colinfo,ip.geoip.country,ip.geoip.country -R ip.geoip.lat < 40

    También podemos generar estádisticas por ciudades, paises y usar MIN, MAX, COUNT, AVG, (Tshark, Wireshark en línea de comandos. (VI Parte.) Avanzando en filtros, Estadísticas, COUNT, SUM, MIN, MAX y AVG.):

    • «COUNT(ip.geoip.country)ip.geoip.country contains «Spain» 

    geoip_col_05.png

    ===========

    Hasta aquí por hoy. Hasta la próxima.

    Esta entrada fue publicada en Seguridad y redes, Wireshark . Tshark. Guarda el enlace permanente.

    2 respuestas a Tshark. GeoIP / Geolocalización usando Column format y proto,colinfo.

    1. Pingback: Tshark. Follow TCP Stream en modo CLI mediante estadísticas tshark. | Seguridad y Redes

    2. Pingback: Argus. Auditando el tráfico de red. Parte 6. Argus y Geolocalización con GeoIP. | Seguridad y Redes

    Deja un comentario