[Wireshark] 와이어샤크에서 국가정보 필터 활성화하는 방법
와이어샤크를 통해 트래픽 덤프를 확인할 때 가끔 출발지, 목적지 IP에 대한 지리정보가 필요한 경우가 있습니다.
이럴 때 와이어샤크 GeoIP 필터를 통해 실시간 덤프 또는 덤프 분석 시 유용하게 사용할 수 있습니다.
# Wireshark와 GeoIP 연동 방법
1. Wireshark에서는 GeoIP 연동이 가능합니다.
2. maxmind에서 무료버전인 GeoLite DB를 다운로드 합니다. (상용 DB도 있습니다.)
URL : http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
3. Country, City, AS Number 등의 DB를 사용할 수 있으나 이번엔 Country를 선택합니다.
다운 받으신 GeoIP.dat.gz 을 압축을 푸시면 GeoIP.dat 파일이 나옵니다.
4. 해당 GeoIP.dat 파일을 적당한 경로에 복사합니다.
저는 와이어샤크 경로에 폴더를 하나 만들어 저장을 하였습니다.
5. 이제 와이어샤크를 설정할 차례입니다.
먼저, 다운 받은 GeoIP 파일을 wireshark에 업로드 하기위해
Edit - Preferences - Name Resolution 에서 GeoIP database directories 를 설정합니다.
(4번에서 설정하신 경로를 선택하시면 됩니다.)
다음으로, Edit - Preferences 에서 Protocol 탭에 있는 IPv4를 선택합니다.
해당 창에서 Enable GeoIP lookups 을 체크 합니다.
6. 그 다음 User Interface - Columns 에서 다음과 같이 2개의 필터를 Add 합니다.
Add 를 하신 후 Title은 각각 Src Country, Dst Country로 마우스 클릭 후 입력하시고,
Field type은 Custom을 선택하신 후 Field name에 ip.geoip.src_country와 ip.geoip.dst_country를 입력하신 후 Apply - OK로 저장합니다.
7. 이렇게 설정하시면 다음과 같이 트래픽 덤프 시 나라 정보 확인이 가능합니다.
