GeoIP下载信息在网络分析或数据包分析的世界里,在面对枯燥复杂的基于数据帧的枯燥分析环境里,想必不少人有这样一个期望,能否有更多的直观视图,可视化分析数据包。GeoIP就是这样一个插件,它允许分析者通过图形化的方式定位某个IP的位置。本文介绍什么是GeoIP、如何下载并安装、如何在Wireshark中配置GeoIP以及如何使用GeoIP来定位IP地址的位置。
什么是GeoIP
GeoIP是MaxMind几个IP相关智能产品组成之一。GeoIP允许你发现有关特定IP地址的信息。提供Web服务,基于订阅的可下载数据库和免费下载数据库。
下载GeoIP库文件
打开GeoIP免费版下载地址https://dev.maxmind.com/geoip/geoip2/geolite2/,能看到下载信息。
分别下载以下几个相关文件
- GeoLite2-City_[date].tar.gz
- GeoLite2-Country_[date].tar.gz
- GeoLite2-ASN_[date].tar.gz
关联库文件
在本地磁盘创建一个名为MaxMind的文件夹,该文件夹将用于放置前面下载的相关数据库文件。
解压缩已下载的3个文件到上述目录,如下图。
Wireshark参数设置
打开Wireshark,打开编辑——首选项,点击Name Resolution,点击MaxMind database directories后的Edit,在弹出窗口点击+,添加刚才创建的MaxMind目录。如下图所示。
创建可视化地图
接下来,在Wireshark中打开想要分析的抓包文件,打开统计——端点,点击IPv4或IPv6标签栏,即可看到互联网地址的相关信息。
如下图,可以看到部分地址属于中国,以及省份及ISP信息。
在配置了MaxMind后,打开端点后,发现在窗口底部多出了“映射”内容。
点击映射,选择“在浏览器中打开”,即可在浏览器中打开可视化视图,视图中包含地图中地理位置及IP地址信息。
如下图所示。
过滤GeoIP信息
分析人员可能由于某种需求,想要做不同区域或运营商的地址统计,利用GeoIP过滤器就能够方便的过滤出想要的信息。
例如,我想要过滤出所有源或目的IP地址为中国的地址信息,则使用如下过滤器即可。当然,你可以在任意一个IP报头信息部分找到该地址的具体地理位置信息。如下图所示。
这种过滤后的地址信息,再次使用地图打开,就可以详细查看。如下图所示。
为GeoIP添加显示列
在Wireshark分析面板,添加一列显示地理位置的信息,这样在分析数据包时,就能实时看到IP地址的地理位置信息,不失为一种很酷的事情。
在Wireshark分组详情分析面板,展开IP包头,在GeoIP信息中,有点点击想要添加为列的内容,然后选择“应用为列”,则对应的信息就被自动添加为列。这样,在分析数据包的时候,就能随时看到IP地址所在的地理位置信息。如下图所示。
如何解决抓包难题
Wireshark能够深入分析抓包,也能够在需要的时候,临时抓取数据包。但是,在很多场景中,Wireshark这种轻量级、便携式的软件工具则无法胜任数据包抓取工作。例如:
- 7*24小时长期数据包采集和存储;
- 高速网络环境中流量采集;
- 大文件中会话快速过滤;
- 异地数据包采集和过滤。
企业级全流量分析系统能够很好的解决这类数据包采集和存储需求,如网深科技NetInside系统本身具有大容量数据包存储空间、高性能数据采集和存储能力,也具备快速过滤回溯抽取功能。
分析系统通过旁路方式部署在企业对应区域,7*24小时实时抓取并存储所有数据包,尤其在异地分布式环境下,分析人员只需通过远程方式,就可以方便的过滤并下载到想要分析的抓包文件,轻松的缓解了哪里有问题去哪里,或到了机房故障现象消失而采集不到数据包的尴尬局面。