와이어샤크(Wireshark)에서 접속 국가 확인하기

와이어샤크에서는 GeoIP DB를 이용하여 패킷 캡쳐시 접속 국가 확인이 가능하다.
GeoIP는 상용버전이지만 GeoIPLite라는 무료버전이 있다.

1. 먼저, 아래 URL에서 GeoIP DB를 다운 받는다.

http://geolite.maxmind.com/download/geoip/database/

• GeoIP.dat
  국가별 IP가 저장되어 있는 DB
• GeoIPASNum.dat
  IP대역별 AS 번호가 저장되어 있는 DB
• GeoLiteCity.dat
  도시별 IP가 저장되어 있는 DB

2. 다운 받은 파일을 특정 위치에 저장한다.

와이어샤크에서는 아래와 같은 위치에 저장하기를 권장하는 것 같다.

Database pathname
....(생략)...

The locations for your data files are up to you, but /usr/share/GeoIP (Linux), C:\GeoIP (Windows), C:\Program Files\Wireshark\GeoIP (Windows) might be good choices

3. 디렉터리에 GeoIP DB를 저장한 후 File 위치를 지정해 준다.

와이어샤크에서 Edit > Preferences 창을 띄운다.

GeoIP database directories 의 Edit 버튼을 클릭하여 위치를 지정한다.

New 버튼을 클릭하면 경로를 지정할 수 있다.

4. 경로를 지정한 후 GeoIP DB를 사용하도록 설정해 주어야 한다.

다시 Edit > Preferenses 창을 띄운 후 Protocols에서 IPv4를 찾는다.

IPv4에서 Enable GeoIP lookups 를 체크해 준다.

5. 패킷 캡쳐 시 접속 국가를 확인하기 위해 Column에 추가해 준다.

Column Title은 원하는 이름을 적어 준 후 Field Type은 'Custom', Field name은 'ip.geoip.dst_country'로 입력한다.

적용 및 확인 후 Live Capture창에서 추가한 Column을 원하는 위치로 조정해 준다.

Etc...

• 위와 같이 설정한 후 캡쳐시 접속국가 확인이 가능하며, AS번호나 접속도시도 확인하고 싶다면 Column을 추가하면 된다.
  
  
• GeoIP는 편리하지만 그만큼 PC 성능에 영향을 줄 수 있다.
  
  
• Live Capture 외에 와이어샤크 Statistics 하단 메뉴에 있는 End Points에서도 확인 가능하다.