[Wireshark] Wireshark + GeoIP로 패킷 목적지 위치 한눈에 파악하기

 

본론에 들어가기전에 Wireshark에 대한 특징을 간단히 소개한다.

와이어 샤크는 아래에 정리된 것 같이 다양하고, 파워풀한 기능을 제공한다.

1. 패킷 캡처(Packet Capture)

- 네트워크 인터페이스를 통해 오가는 모든 패킷(데이터 단위)을 실시간으로 기록

- 이더넷, 와이파이, 블루투스 등 다양한 링크 계층 지원

2. 프로토콜 디코딩(Protocol Deciding)

- TCP/IP, HTTP, DNS, SSL/TLS, FTP, DHCP 등 수백 가지 프로토콜 를 자동으로 해석

- 각 패킷을 계층별로 트리 구조로 보여주기 때문에 헤더 필드와 페이로드를 쉽게 확인 가능

3. 필터링(Filtering)

- 캡처 필터: 캡처 단계에서 "ip.addr == 192.168.0.1" 등 조건을 걸어 불필요 패킷 배제

- 디스플레이 필터: 캡처 후 "http.request.method == GET" 같은 상세 조건으로 조회

4. 검사 및 디버깅

- 애플리케이션 성능 문제, 패킷 손실, 잘못된 설정, 보안 침해 등 네트워크 장애 원인 분석

- 특정 세션(예: TCP 스트림)을 재조립해 주고, HTTP 대화나 파일 전송 내용을 직접 볼 수 있음

5. 통계 기능(Statistics)

- IO 그래프: 시간대별 트래픽량 시각화

- 프로토콜 계층별 분포: 어떤 프로토콜이 얼마나 쓰이는지 백분율 및 바 차트 제공

- 대화(Conversations): 호스트 간 통신량 정리

6. 확장성 & 호환성

- Lua 스크립트나 플러그인으로 프로토콜 해석기 추가 가능

- Windows, macOS, Linux 모두에서 실행

 

 

 

 

---

 

 

 

네트워크 패킷 Destination(목적지) 확인 하는 방법

 

이렇기 때문에 막상 Wireshark에 접속하면 상당한 데이터를 받게 되어서 상당히 어지럽다.

익숙해지기 위해서는 하나씩 밟아나가야 되겠다는 생각이 들었다.

 

그렇기 때문에 우선적으로, 파악하고 싶은점은 Destination의 위치였다. 상당히 많은 데이터들이 엄청난 양으로 통신을 하지만, 결국 시작점과 도달하는점이 존재할 것이다.

 

그래서 Wireshark + GeoIP를 사용하면 정확한 위치는 알 수 없지만 대략적으로 알 수 있는 방법이 있었다. 해당 방식을 적용하면 다음과 같이 확인이 가능해진다. (글 특성상 설치 및 적용 방법은 스킵)

 

1. Destination Address 해석

 

- Source Address: 192.168.xx.xx = 패킷을 보낸 로컬 호스트 IP

- Destination Address: 54.95.xxx.xx = 패킷이 향하는 원격 호스트 IP

- Destination GeoIP: Tokyo, JP 

-- Destination GeoIP City: Tokyo = 목적지 IP가 속한 도시

-- Destination GeoIP Country: Japan = 목적지 IP가 속한 국가

-- Destination GeoIP ISO Two Letter Country Code: JP = ISO 3166-1 α-2 코드

-- Destination GeoIP Latitude/Longitude: 35.6893, 139.6999 = 해당 위치의 대략적인 위도·경도 좌표

 

 

2. 내장 지도로 확인하는 방법

- Statistics > Endpoints 를 클릭

 

- IPv4·7 > 해당 주소 클릭 > Map > Open in browser 클릭

 

- 해당 목적지가 지도에 표시가 된다.

 

 

 

위의 두가지를 결과를 종합해보면 결국 이 패킷은 로컬 호스트(192.168.xx.xx)에서 일본 도쿄(35.6893, 139.6999)에 위치한 서버(54.95.xxx.xx)로 전송된 트래픽임을 알 수 있다.