В некоторых версиях программы wireshark есть возможность использовать GeoIP и определять геолокацию ip. Wireshark , начиная от версии 2.6 и выше могут использовать базы данных MaxMind для поиска по стране, городу, номеру автономной системы, координатам и другой информации для IP-адреса. Платные базы более точны. Нам для тестов подойдет и бесплатный вариант, страна и город будут доступны для определения.
Итак как же использовать GeoIP в wireshark? Начать следует с определения того, поддерживает ли ваша версия wireshark использование GeoIP. Для этого, запустите программу и пройдите по меню в:
Help —> About Wireshark
Откроется окно изображенное на Рис 1
Рис 1. Окно About Wireshark
Если вы нашли такую информацию как: with MaxMind DB resolver, значит ваша версия поддерживает GeoIP и вы можете продолжать эксперимент с геолокацией.
В старых версиях программы будет написано with GeoIP, это тоже подтверждает поддержку геолокации.
Дистрибутив программыWireshark не содержит в себе базы MaxMind по умолчанию, их нужно скачивать отдельно. Это следующий шаг.
Скачивание и установка баз
Чтобы скачать базы МаксМайнд переходим на сайт https: //dev.maxmind.com/geoip/legacy/geolite/ пролистываем до раздела Downloads и скачиваем 3 базы (Важно загружать именно формат binary) как указано на Рис. 2
Не всегда срабатывает с базами с сайта. Если не получилось, можете скачать по прямой ссылке с яндекс диска. Я пробовал с этими базами, вся настройка ниже и результат на основе этих баз СКАЧАТЬ
Рис. 2 Загрузка бесплатных баз
Для удобства, можно отложить эти архивы в сторонку, они пригодятся нам немного позже.
Для начала нам необходимо подготовить папку для размещения этих баз и указать его в настройках wireshark. Я предлагаю вам два варианта размещения, в C:\ProgramData\GeoIP или же C:\Program Files\Wireshark создать папку GeoIP. Это лишь рекомендация, для удобства поиска баз, ну в конце концов чтобы файлы программы были при ней.
Распаковываем наши готовые 3 архива в подготовленную папку получится что-то похожее на это:
После всех действий с базами, необходимо указать в настройках программы, путь к базам. Для этого идем в меню Edit -> Preferences -> Name Resolution откроется окно как на Рис. 3
Рис. 3 Окно настроек
Жмем кнопку Edit и указываем путь к каталогу в котором лежат базы. Для этого Нажимаем на + и выбираем папку. Путь указали, теперь необходимо настроить протокол.
Переходим в этом же окне, которое изображено на Рис. 3, в пункт Protocols, а точнее раскрываем его. в списке ищем либо IP (в старых версях), либо IPv4 (в новых версиях), нашли, нажимаем. Справа появились настройки, нам необходимо активировать Enable IPv4 geolocation (Включить геолокацию IPv4) либо Enable GeoIP lookups, отметили галочкой пункт, нажимаем ОК в окне настроек. Перезапускаем wireshark.
Пробуем захватить трафик и если вы все верно настроили будет примерно такой результат.
Все что в квадратных скобках — это дополнительная информация создаваемая самой программой wireshark. В нашем случае, создаются дополнительные поля с геолокацией на основе добавленных баз.
