В некоторых версиях программы wireshark есть возможность использовать GeoIP и определять геолокацию ip. Wireshark , начиная от версии 2.6 и выше могут использовать базы данных MaxMind для поиска по стране, городу, номеру автономной системы, координатам и другой информации для IP-адреса. Платные базы более точны. Нам для тестов подойдет и бесплатный вариант, страна и город будут доступны для определения.

Итак как же использовать GeoIP в wireshark? Начать следует с определения того, поддерживает ли ваша версия wireshark использование GeoIP. Для этого, запустите программу и пройдите по меню в:

Help —> About Wireshark

Откроется окно изображенное на Рис 1

В SYN пакетах, которые используются в настройке сеанса рукопожатия TCP есть дополнительные параметры TCP, такие как: SACK_PERM, TSval,  TSecr.  Все это так называемые высокопроизводительные параметры, которые сейчас широко распространены, поскольку все современные стеки TCP знают о них и используют, особенно в средах с высокой пропускной способностью с высокой задержкой (LFN).

Вы можете создать фильтры отображения с помощью Wireshark, дать им метки для последующего использования и сохранить в программе. Такая операция может сэкономить время на запоминание и повторный набор сложных фильтров, которые вы чаще всего используете.

Для того, чтобы определить новый фильтр или изменить существующий, необходимо открыть окно Display Filters  Захват → Захват фильтров … или Анализировать → Показать фильтры … . Затем Wireshark откроет диалоговое окно «Фильтры»,  «Диалоговые окна« Фильтры захвата »и« Экранные фильтры » .

Диалоговое Окно «Фильтры захвата»

Когда вы привыкли к системе фильтрации Wireshark и знаете, какие метки вы хотите использовать в своих фильтрах, очень просто ввести строку фильтра. Однако, если вы новичок в Wireshark или работаете с немного незнакомым протоколом, может быть очень затруднительным попытаться выяснить, что вводить или составить фильтр отображения. Диалоговое окно «Выражение фильтра» поможет вам в этом.

Чтобы вызвать окно «Выражение фильтра» после запуска WireSharka  нажмите на надпись Expression… у поля фильтрации

Wireshark предлагает простой, но мощный экранный фильтр, позволяющий создавать довольно сложные выражения фильтра. Вы можете сравнивать значения в пакетах, а также комбинировать простые выражения в более сложные выражения. Ниже разобраны конкретные примеры и описания.

Поля отображения фильтра

Каждое поле в панели сведений о пакете может использоваться как строка фильтра, это приведет к отображению только тех пакетов, где это поле существует. Например: строка фильтра: tcp отобразит все пакеты, содержащие протокол tcp.

Полный список всех полей фильтра доступен через пункт меню Справка

Иногда необходимо объединить несколько файлов захвата в один. Например, это может быть полезно, если вы одновременно захватили сразу несколько интерфейсов (например, используя несколько экземпляров Wireshark).

Существует три способа объединения файлов захвата с помощью Wireshark:

После захвата пакетов вы можете сохранить их в файл, в любую папку на вашем компьютере, через пункты меню File → Save As … . Вы можете выбрать, какие пакеты сохранить и какой формат файла использовать.

Не вся информация будет сохранена в файле захвата. Например, большинство форматов файлов не записывают количество отброшенных пакетов.

Диалоговое окно «Сохранить как» позволяет сохранить текущий захват в файл.  Внешний вид этого диалога зависит от системы. Однако функциональность должна быть одинаковой для всех систем.

Wireshark может читать ранее сохраненные файлы захвата. Чтобы прочитать их, просто выберите пункт меню « Файл/File» → « Открыть/Open» или «Панель инструментов». Затем Wireshark откроет диалоговое окно «Открыть файл», которое более подробно описано в разделе 5.2.1 «Диалоговое окно« Открыть файл захвата »» .

Удобно использовать drag-and-drop
Вы можете открыть файл, просто перетащив его в свой файловый менеджер и опустив его в главное окно Wireshark. Однако перетаскивание не всегда может быть доступно.

Если вы ранее не сохранили текущий файл захвата, вам будет предложено сделать это, чтобы предотвратить потерю данных. Это предупреждение можно отключить в настройках.

В дополнение к своему собственному файловому формату (pcapng) Wireshark может читать и записывать файлы захвата из большого количества других программ захвата пакетов.

Wireshark использует язык фильтра libpcap для фильтров захвата. Ниже приведен краткий обзор синтаксиса.

НЕ путайте фильтры захвата (Capture filter) ( пример : tcp port 80 ) и фильтры отображения (display filter) ( пример : tcp.port == 80 ). Фильтры захвата устанавливаются до Старта захвата, а фильрами отображения вы можете оперировать во время захвата.

Фильтр захвата принимает форму серии примитивных выражений, связанных конъюнкциями ( и | или ) и необязательно предшествующих НЕ :

[not] примитив [and | or [not] примитив …]

Фильтр захвата для telnet, который фиксирует трафик на конкретный хост и с него

tcp port 23 and host 10.0.0.5

В этом примере фиксируется трафик telnet с хостом 10.0.0.5 и с него, а также показано, как использовать два примитива и соединение. В другом примере показан «Захват всего трафика telnet не с 10.0.0.5» , и показывает, как захватить весь трафик telnet, кроме 10.0.0.5.

При захвате базового механизма захвата libpcap будут захватывать пакеты с сетевой карты и сохранять пакетные данные в (относительно) небольшом буфере ядра. Эти данные считываются Wireshark и сохраняются в файле захвата.

По умолчанию Wireshark сохраняет пакеты во временный файл. Вы также можете сообщить Wireshark о сохранении в конкретном («постоянном») файле и переключиться на другой файл по истечении заданного времени или на определенное количество пакетов. Эти параметры контролируются на вкладке «Выход» в диалоговом окне «Параметры захвата».

Параметры вывода захвата