Tạo GeoIP map report với Wireshark

DDos

VIP Members
22/10/2013
524
2.191 bài viết
Tạo GeoIP map report với Wireshark
Nếu bạn cần tạo một bản báo cáo điều tra khi bạn tham gia vào việc xử lý một sự cố. Trong trường hợp này, một lựa chọn tốt có thể là tạo ra một bản đồ với các kết nối được thiết lập trong sự cố này. Hoặc có thể bạn muốn nhìn trên bản đồ nơi các lệnh một server tạo ra hay các quốc gia phát tán tấn công từ chối dịch vụ.

Để đạt được mục đích này, bạn có thể thực hiện bằng cách tạo ra một bản đồ sử dụng Wireshark. Trong bài này, mình sẽ sử dụng phiên bản mới nhất của Wireshark là 1.10.2.

Việc đầu tiên bạn cần là tải về cơ sở dữ liệu GeoIP: GeoLite City, Countruy và ASNum từ liên kết dưới đây:
http://dev.maxmind.com/geoip/legacy/geolite/

1489939933Wireshark_Report_1.png

Sau đó, bạn lưu chúng vào cùng một folder. Ví dụ: C:Geoip

1489939933Screenshot from 2014-01-15 15:05:48.png

Bây giờ, chúng ta cần chỉ dẫn cho Wireshark nơi mà chúng ta lưu các tệp tin GeoIP. Để làm điều này, bạn cần mở Wireshark đi tới Edit -> Preferences -> Name Resolution và click vào Edit trong đường dẫn của cơ sở dữ liệu của GeoIP.

1489939933Wireshark_Report_3.png

và tạo một đường dẫn mới nơi files được lưu.

1489939933Wireshark_Report_4.png

Sau đó, bạn khởi động lại Wireshark để thực hiện các thay đổi ở trên. Bây giờ, bạn chỉ cần load một file PCAP hoặc tạo quá trình chụp gói tin mới. Khi tất cả các gói tin đã được chụp và bạn muốn tạo ra bản đồ với các kết nối tham gia trong một sự cố nào đó, bạn cần đi tới Statistics -> Endpoints

1489939933Wireshark_Report_5.png

chọn tab IPv4 và click vào map. Chú ý rằng ví dụ nếu bạn muốn lọc các gói tin UDP mà nó có liên quan tới malware, bạn lựa chọn "Limit to display filter" để in ra các kết nối này trên bản đồ. Sau đó click vào map.

1489939933Wireshark_Report_6.png

Cuối cùng, chúng ta cần một bản đồ động với các kết nối trên bản đồ. Trong trường hợp này, mình sử dụng file PCAP liên quan tới tấn công tới php.net, bạn có thể download file PCAP dưới đây:
HTML:
https://www.mediafire.com/?fg3gruukd6xgvmv
1489939933Wireshark_Report_7.png
 
cho em xin cơ sở dữ liệu được không ad , em lên trang chính mà không thấy , thấy khác quá ad
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
cảm ơn ad
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên