Wireshark 에서 GEOIP 를 이용하여 국가정보 보기

Wireshark 에서 GEOIP 를 이용하여 국가정보 보기

wireshark 에서 GEOIP DB 정보를 이용하여 패킷캡쳐시 아이피에 대한 국가정보를 알 수 있는 옵션이 있다.

우선 GEOIP 데이터베이스는 아래 경로에서 다운로드 한다.

화면 아래에 보면 Downloads 라는 부분이 있으며 GeoLite Country 이며 Binary / gzip 라고 되어 있는 링크를 클릭한다.

Lite 는 무료로 제공되는 GEOIP 국가 정보 데이터베이스이다.

다운로드 및 압축 풀기

다운로드 받은 압축파일을 풀면 오른쪽 Geoip.dat 라는 파일이 생성된다. 해당 파일을 특정 디렉토리에 넣어주고 Wireshark에서 경로만  잡아주면 된다.

WIRESHARK 설정

wireshark 에서 아래 메뉴를 찾아서 GEOIP.dat 파일 경로 지정

wireshark 주메뉴에서 Edit 를 누르고 Preferences… 라고 된 부분을 선택한다.

Name Resolution 클릭하고 Geoip database directories 에 부분에 Edit 를 클릭한다.

아래와 같은 창이 열리는데 ‘New’ 를 클릭하고 다시 드롭 메뉴에서 ‘Other…’ 를 클릭한다.

Other 사용자가 Geoip.dat 파일의 위치를 직접 지정하겠다는 의미이다.

아래와 같이 경로를 지정할수 있는 설정창이 열리며 Geoip.dat 파일의 디렉토리를 선택 하고 ‘Open’ 버튼을 누르면 된다.

뒤 부분은 OK 를 누르면 나가면 저장이 된다.

패킷 캡쳐를 하면 패킷 정보창 IP 헤더 부분에 GEOIP 라는 필드가 추가된것이 보인다.