Cách hiển thị thông tin AS number, Location của IP trong Wireshark

Cách để hiển thị các thông tin như AS number ngay trong Wireshark:

- Đầu tiên ta vào trang https://dev.maxmind.com/geoip/geolite2-free-geolocation-data?lang=en và đăng kí 1 tài khoản (free) và tải file database gồm các cặp {IP range , AS number} File này sẽ cập nhật thường xuyên, mình cần thủ công tải về để import vào wireshark.

Link tải: https://www.maxmind.com/en/accounts/846366/geoip/downloads

(Note: Không tải file CSV, vì mình import vào thấy không work)

NẾU BẠN MUỐN TEST NHANH THÌ CÓ THỂ DÙNG LUÔN FILE NÀY , MÌNH ĐÃ TẢI SẴN NGÀY 7-6-2023

- Giải nén: sau khi download về, ta giải nén ra (nên lưu trong ổ D, E,... tránh ổ C),  được file như dưới:

- Cách import vào wireshark:

Mở wireshark ra, chọn Edit > Preferences, rồi vào Name resolutions …như dưới:

- Sau đó trỏ đến thư mục chứa file database vừa giải nén:

Ta được:

Tắt wireshark đi và bật lại,

- Sau đó bắt thử 1 số gói ra internet, rồi vào Mục Statistics > Endpoints như dưới

Sẽ thấy hiển thị AS number như dưới:

Từ AS number trên ta có thể biết các IP của app, ví dụ zalo có AS là 38244, thì ta biết các IP ứng với số 38244 là của zalo.

Tương tự nếu bạn muốn hiện thị Location về Country và City thì có thể tải gói City:

Và gói country:

DONE