네트워크 보안 및 운영 업무에 있어서 와이어샤크(Wireshark) 사용법은 필수임.
그래서 와이어샤크를 활용하여 업무 효율성을 높일 필요가 있음.
위치 정보(GeoIP) 설정 및 맵 활용을 통해 DDoS 관제 시 봇넷 IP 정보를 추출하는 데 유용함.
아래 방법은 와이어샤크(Wireshark) 3.2.7 에서 테스트하였으며 위치 정보(GeoIP) 설정하고 해당 필드를 삽입함.
그리고 패킷에 국가 등 정보가 출력된 후 위치 정보 맵 기능을 통해 한 눈에 볼 수 있도록 활용함.
( 1 ) 위치 정보(GeoIP) 설정과 해당 필드 삽입
1. 먼저 GeoIP 무료 데이터베이스를 MaxMind 사이트에서 다운로드가 가능하며 계정 가입은 필수임. ( MaxMind 사이트 : https://www.maxmind.com/en/home )
매달 첫 번째 화요일에 GeoLite2 국가 및 도시 데이터베이스를 업데이트하고 매주 화요일에는 GeoLite2 ASN 데이터베이스를 업데이트함.
(계정 가입 > 상단 My Account 클릭 > 화면에 Download Databases 클릭 > 3개의 .mmdb 파일 형식만 다운로드)
와이어샤크에서 .mmdb 파일 형식을 사용해야 인식하므로 해당 파일 형식의 파일만 다운로드함.
2. 압축 해제 후 특정 폴더(ex. C:\GeoIP)에 복사함.
3. 와이어샤크 GUI -> Edit -> Preferences -> Appearance -> Name Resolution -> MaxMind database directories Edit 버튼 클릭
4. + 버튼을 클릭하여 GeoIP 정보 파일들(3개의 .mmdb 파일)이 위치한 특정 폴더(ex. C:\GeoIP)를 지정한 후 확인 버튼을 클릭하여 저장함.
여기까지 GeoIP 정보를 읽어들일 수 있도록 설정한 것이며 이제 컬럼을 추가해서 정보를 출력할 수 있도록 설정함.
5. Edit -> Preferences -> Appearance -> Columns 클릭
6. + 버튼을 클릭하여 원하는 위치정보(ex. 국가정보)를 입력한 후 확인 버튼을 클릭하여 저장함.
Title : 사용자가 원하는 이름 입력
Type : Custom 선택
Fields : 출발지 국가정보 - ip.geoip.src_country 입력
목적지 국가정보 - ip.geoip.dst_country 입력
참고로 출발지 도시정보 필드명은 ip.geoip.src_city 이고 목적지 도시정보 필드명은 ip.geoip.dst_city 임.
원한다면 컬럼을 추가해서 도시정보까지 입력하면 됨.
7. 설정을 적용시키려면 재시작해야 함.
8. 테스트로 와이어샤크를 실행하여 구글 사이트에 접속한 후 패킷 정보를 확인해보면 국가정보 필드에 정보가 출력됨.
패킷 디테일 화면의 IP 프로토콜에 국가, 도시, 기업, 위도, 경도 정보를 확인할 수 있음.
( 2 ) 위치 정보 맵 활용
1. 와이어샤크 GUI -> Statistics -> Endpoints 클릭
2. IPv4 탭에 도시, 국가, AS 번호 및 AS 조직 정보가 출력됨.
3. 추가적으로 IPv4 탭에서 Map 버튼의 Open in browser 클릭하면 웹브라우저의 ipmap 페이지에 색깔별 동그라미로 표시되며 클릭해보면 정보가 출력됨.
다수의 DDoS 봇넷 위치를 파악하는데 편하며 도시 정보가 겹치면 진한 주황색 동그라미로 표시됨.
ps.
GeoIP 정보를 가지고 디스플레이 필터를 걸수 있음.
원하는 국가(ex. China)만 보고 싶다면 아래와 같이 입력함.
ip.geoip.country == "China"
참고 사이트 :
https://www.chappell-university.com/post/geoip-mapping-in-wireshark
============================================================
본 게시물은 KOROMOON 님께서 작성하였으며 CCL (Creative Commons License) 에서 "저작자표시-비영리-동일조건변경허락" 이용조건으로 자료를 이용하셔야 합니다.
글
댓글 없음:
댓글 쓰기