wireshask 는 ethereal 라는 패킷 분석 프로그램에서 발전 하여 만들어진 패킷 분석 프로그램이다.
wireshark 가 최근 버전이 2.0 으로 업그레이드 되면서 일부 기능이 추가 되었으며 일부 변경된 부분이 있다.
geoip db를 연동하여 해당 출발지 주소의 정보를 확인 할 수 있다.
아래 사이트를 통하여 geolite country,asn 을 저장 한다.
wireshark 실행후 edit -> preferences -> name resolution 설정에 들어간후, geoip database directories 를 수정한다.
geoip database directories 에서 아래 + 버튼을 클릭 하여 이전에 저장한 geoip database 의 경로를 추가해준다.
DB적용후 appearance 메뉴에 columns 탭에 들어가여 custom 타입의 필드를 추가 한다.
이때 필드는 ip.geoip.src_country 를 field name 으로 하여 출발지 주소의 국가를 확인 하며
ip.geoip.src_asnum 를 field name 으로 하여 출발지 주소의 asn 정보를 출력 할 수 있다.
- 위와 같이 적용하면 샘플링된 패킷을 확인 하면 출발지 아이피 기반으로 해당 국가와 asn 정보를 확인 할 수 있다.
반응형
'Network > network-basic' 카테고리의 다른 글
| Cisco Netflow(IOS) 설정과 flow-capture 를 이용한 분석 (0) | 2016.02.27 |
|---|---|
| Cisco NAT,PAT (0) | 2016.02.10 |
| cisco ios 백업 및 tftp 설정 (0) | 2016.02.10 |
| PPP(Point-to-Point Protocol) 프로토콜 (0) | 2016.02.10 |
| PROXY ARP 와 PROXY ARP에 따른 static 라우팅 (0) | 2016.02.10 |
