Wireshark: geolocalizando direcciones IP

Publicado por Diego Córdoba en

En este post veremos cómo geolocalizar direcciones IP en un mapa utilizando las bases de datos GeoLite2 de MaxMind y Wireshark.

En wireshark podemos capturar tráfico de red, y analizar los end-points, destino de nuestras comunicaciones o las de nuestra red LAN.

Los end-points en wireshark con aquellos nodos, direcciones IP remotas, con las cuales estamos interactuando en nuestra captura.

Es decir, si comenzamos a capturar tráfico de red, y realizamos una conexión, o ping, o cualquier tipo de interacción, contra un servidor que se encuentra en Rusia, ese tráfico quedará almacenado en la captura, y la dirección IP del servidor en Rusia será un end-point para wireshark.

Ahora bien, en el wireshark podemos cargar bases de datos de países, ciudades y ASN (Autonomous System Number – Número de sistema autónomo).

Cargando estas bases de datos, Wireshark puede generar un mapa interactivo donde veremos lo end-points con cierta información, como país, ciudad, u organización a la que pertenece la IP o rango de IPs.

Vemos cómo podemos lograrlo!

Descargando las bases de datos de geolocalización

Primero vamos a descargar las bases de datos desde maxmind.com.

Si no tenemos cuenta nos creamos una, y dentro de nuestro panel veremos el enlace para acceder a la sección de descargas de las bases de datos de GeoLite2.

wireshark maxmind

Dentro podremos descargar las tres bases de datos:

  • GeoLite2 ASN
  • GeoLite2 City
  • GeoLite2 Country

Se trata de tres archivos .zip que contienen un directorio cada uno.

Una vez descargados, los guardamos en alguna ubicación de nuestro disco. En mi caso, los he guardado en un directorio en mi home, llamado ~/opt/wireshark_geolite:

maxmind database

En este directorio he desempaquetado los archivos .zip, por lo que se ven los tres directorios. Cada directorio contiene metadatos de la base de datos en cuestión, y por supuesto, el archivo de base de datos.

Configurando Wireshark con GeoLite2

Para cargar las bases de datos en Wireshark, vamos a ir a Editar -> Preferencias, y dentro, vamos a la sección de Resolución de nombres:

maxmind config

Veremos en la parte inferior un botón para añadir los directorios de base de datos de MaxMind. Damos clic en Editar, y en la siguiente ventana podremos añadir, mediante el botón de «+» de la parte inferior, cada uno de los directorios desempaquetados de base de datos:

Una vez que hemos cargado estas tres bases de datos, simplemente debemos guardar los cambios, cerrar Wireshark y abrirlo nuevamente.

Analizando la información de geolocalización con Wireshark

Con la base de datos cargada, podemos comenzar a capturar tráfico, o abrir una captura guardada, y dirigirnos al menú Estadísticas -> End Points

wireshark endpoints

Esto nos abrirá una nueva ventana, dentro de la cual veremos los nodos de comunicación capturados. Allí, en la pestaña de tráfico IP veremos los datos de geolocalización de cada uno de ellos, incluyendo País, Ciudad, número de ASN, latitud, longitud, y organización a la que pertenece el nodo:

wireshark geoip

Además, en el panel lateral izquierdo veremos el botón de «Map«, que nos permitirá generar un mapa interactivo en HTML, dentro del cual podremos hacer zoom a ciertas zonas o ver info de cada dirección IP dentro del globo:

Filtrando por datos de geolocalización en Wireshark

Además de lo visto, podemos aplicar diferentes filtros de tráfico teniendo en cuenta los datos de geolocalización.

Le comparto la ventana de opciones de filtrado del protocolo IPv4 en las expresiones de filtro, para que puedan ver las opciones de geolocalización por medio de las cuales podemos filtrar:

wireshark geoip filter expressions

Así, podríamos utilizar filtros como:

ip.geoip.country == "France"
ip.geoip.org == "GOOGLE"
ip.geoip.city == "Ashburn"

Y muchos filtros más, en general, o para destino u origen, y además, podemos añadir filtros por Latitud y Longitud.

Notas finales

Esto de la geolocalización de tráfico en es una característica interesante que podemos utilizar en Wireshark para determinar hacia dónde va el volumen de tráfico de nuestro sistema o red, o si recibimos un ataque externo, desde dónde vienen esos paquetes.

En fin, espero que este tutorial sirva para aprender un poquito más sobre esta ENORME herramienta de análisis de tráfico de red.

Si quieren saber más saben que pueden sumarse a mi grupo de alumnos del curso de Wireshark!

¿Preguntas? ¿Comentarios?

Si tenés dudas, o querés dejarnos tus comentarios y consultas, sumate al grupo de Telegram de la comunidad JuncoTIC!
¡Te esperamos!


Artículos relacionados:

Categorías: Sin categoría

Diego Córdoba

- Ingeniero en Informática - Mg. Teleinformática - Tesis pendiente - Docente universitario - Investigador

Entradas relacionadas

Sin categoría

yay: error while loading shared libraries: libalpm.so.14: [Solucionado]

En este breve artículo les comento a los usuarios de Arch Linux y derivados, una posible solución al error que podemos tener en el gestor de repositorios AUR yay cuando actualizamos Pacman. Ya han pasado Leer más…

Sin categoría

Resolución de pantalla: nueva resolución con xrandr

¿Te ha pasado que en tu sistema GNU/Linux no puedes configurar la máxima resolución que acepta tu monitor? O agregas una pantalla nueva y su resolución soportada no aparece en la lista desplegable? En este Leer más…

Linux

Mover el directorio /home a otra partición en GNU/Linux

En esta oportunidad veremos cómo podemos mover el directorio /home de nuestra instalación de GNU/Linux desde la ubicación actual a otra diferente, ya sea en una partición distinta o en otro disco. Este artículo lo Leer más…