Wireshark are intre timp si un pluggin de GEOip. Ce inseamna asta? Se pot corela foarte usor informatiile de locatie cu adresele de IP pentru o mai buna vizibilitate asupra traficului.

Primul lucru care trebuie verificat este daca versiunea instalata a fost compilata cu suport de GeoIP. Informatia se poate afla daca se acceseaza meniul Help -> About Wireshark. La sectiune de compilare se afla pluggin-urile cu care a fost compilat.

Daca GeoIP-ul este unul dintre ele, pasul urmator este sa faci download la baza de date cu informatiile GeoIP de aici. Documentatia originala de instalare cat si cateva exemple de filtre bazate pe informatiile GeoIP se gasesc aici.

Pentru a putea vizualiza informatiile accesati meniul Statistics -> Endpoints -> IPv4 tab. O sa aveti o surpriza apasand obtiunea de Map. Dar mai bine va las pe voi sa o descoperiti.

BTW exista si pluggin de SNORT pentru Wireshark (WireShnork). Mai multe info aici

Have Fun

Anunțuri