"GEO-LOCALIZACION CON WIRESHARK"

Una de las claves a tener en cuenta cuando hacemos un pentesting o auditoria de seguridad informatica es localizar una direccion ip para tener que localizar ciertas sub-redes de la empresa, como algunas vpns , algun trafico o cualesquiera que sea nuestro principal objetivo.

Dicho lo anterior veamos entonces como localizar a una direccion ip por medio de sus coordenadas de latitud y altitud.
primero tendremos que tener una cuenta en MaxMind que son unas bases de datos pre-fabricadas o Pre-build para enlazarlas con nuestra herramienta favorita en este caso utilizaremos el wireshark, nuestro escaner favorito.

La Geo-Localizacion es uno de los aspectos mas fundamentales en el hacking, siempre observamos en las peliculas de hollywood como el tipico "hacker" con fondos verdes futuristas tipo Tron se le despliegan decenas de pantallas parpadeando y logra dar con el paradero del hacker rival o algun criminal buscado.
sin embargo, algo realista que tienen las peliculas es que el hacker necesita de las coordenadas para poder dar con la localizacion exacta de su objetivo.

La realidad es un poco diferente ya que si bien es cierto que se necesitan de las coordenadas, estas mismas no siempre te muestran la ubicacion exacta de tu objetivo si no te mostrara la ubicacion exacta del ISP o de la central que controla a tu router por medio de algun protocolo de enrutamiento externo como eBgp o algo por el estilo.

estas bases de datos ya tienen las coordenadas de cientos de paises con sus respectivos ISP y direcciones ip, estas mismas se basan en las direcciones ip proporcionadas por la organizacion respectiva de autorizar y entregar cierto volumen de direcciones a cada ISP de los distintos paises.

Dependiendo de lo que tendremos que buscar,  vamos a necesitar ciertas bases de datos,  si necesitamos de direcciones ipv6 entonces descargaremos el paquete ipv6 con las localizaciones.


Algo bastante interesante que me he dado cuenta pero que no he tenido la dicha de leer mas y profundizar es que podemos editar las bases de datos incluso hacer uso de su API es decir, tenemos posibilidad de desarollar nuestras aplicaciones sobre estas bases de datos, podemos crear una aplicacion que nos solicite la ubicacion exacta de cierto pais, de cierta ciudad, de cierto AS number a ciertas horas determinadas, eso esta muy bueno segun mis ideas.


Aqui tenemos que colocar la ubicacion de donde estan nuestras bases de datos anteriormente descargadas y descomprimidas, debemos colocar bien la ruta de lo contrario nada de lo anterior visto funcionara.

Luego de haber descargado y colocado las bases de datos con extension .DAT en la ruta o path de wireshark, tendremos que reiniciar wireshark, para que los cambios surtan efectos.


Un asunto importante que no debemos olvidar es colocar la ruta de la base de datos descomprimida , puesto que si colocamos la ruta con la base de datos aun comprimida con gz , tampoco funcionara lo anteriormente dicho.

despues de esto, iniciaremos wireshark, elegimos nuestra tarjeta de red cualesea que fuese e iniciamos el sniffeo, seguido de esto nos vamos a estatistics y endpoints, dentro de la ventana de endpoints nos vamos al protocolo IP, en nuestro caso ipv4.


Como podemos observar  se nos despliega una lista con el numero del sistema autonomo, el pais , la latitud y la longitud ademas de la ciudad, dichas coordenadas nos pueden ser utiles para usarlos con otra herramienta como por ejemplo con google earth o google maps o mejor aun podemos usar el mapa interactivo del mismo wireshark haciendo click en la parte inferior de la ventana.

Ademas de que podemos usar los filtros para localizar una determinada ciudad como lo hacemos con los filtros comunes de los protocolos de wireshark.

colocamos un filtro de geoIP para filtrar la busqueda entre todos los paquetes enviados y recibidos.

Podemos filtrar las busquedas por medio del sistema autonomo, de algunos ISP, de ciertas ciudades e inclusive de coordenadas previamente encontradas con la misma herramienta.

Una cuestion interesante es que si conocemos algun sistema autonomo, o si hemos sido infectado por algun virus gusano o troyano podremos rastrear hacia donde se comunica y dar facilmente conel paradero del atacante.


Estas bases de datos pre-construidas son muy eficientes y utiles ala hora de rastrear algo por la red, ya sea alguna ruta que toma nuestro trafico hacia internet o para rastrear hacia donde se comunica el gusano que ha infectado a una corporacion.

Ademas de que podemos rastrear a nuestra victima en caso de que estemos haciendo una auditoria de seguridad informatica,  podemos ver hacia donde se dirige el trafico de nuestra red privada virtual (VPN) y hacia donde se redirige de nuevo.

Cabe Destacar que este articulo es solo una introduccion al tema del tracking ya que solo hemos visto lo mas basico y fundamental.

En sucesivos articulos veremos como podemos sacar bastante provecho de estas bases de datos.
podremos observar como se rastrea un ataque dos , ddos o un troyano entre algunas cosas mas interesantes.
Gracias por su paciencia.
Luis Stuxnet.