Wireshark 1.2 mit GeoIP-Anzeige
Wireshark ist für die Analyse seines Netzwerkverkehrs schon ein tolles Programm, aber noch “schöner” wird es, wenn man auch noch eine visuelle Übersicht seiner Netzwerkverbindungen bekommen kann. Wireshark 1.2 bietet hierzu die Möglichkeit die “Name Resolution” um das Hinzufügen einer GeoIP-Datenbank zu erweitern.
Wireshark 1.2 - Die Benutzeroberfläche
Die GeoIP Datenbank bekommt man kostenfrei von Maxmind, wobei man folgende Dateien benötigt: GeoIP.dat.gz, GeoLiteCity.dat.gz und GeoIPASNum.dat.gz. Man entpackt diese Archive z.B mit 7-Zip und legt sie in einen Ordner seiner Wahl (ich empfehle den Wireshark-Ordner). Dann öffnet man Wireshark und navigiert “Edit -> Preferences -> Name Resolution -> GeoIP database directorys -> New -> Pfad in der obige Dateien liegen und OK. Wireshark sollte dann neu gestartet werden und hat ab sofort die GeoLocations drauf. Man kann sie sich dann unter “Statistics -> Endpoints -> IPv4″ angucken.
Hosts und deren geografischer Standort
Auf Map kann man sich die Locations bei OpenStreetMap einzeichnen lassen.
Generierte Anzeige der geografischen IP-Adress-Zuordnung
Das ist eine Beispiel-Karte von mir nachdem ich mal ein paar Tabs aktualisiert habe. Recht spannend ist es in jedem Fall. Es gibt die Einrichtung der GeoIP-Datenbank auch nochmal als Video-Tutorial.