Etherealでキャプチャしていると当然非常に多くのIP情報がキャプチャされてきます。

プライベートのネットワークの場合、おそらくこれらのIPはどのパソコン又はサーバでどこにあるかぐらいは安易に分かると思います。

しかし、WAN側に対してキャプチャをすると当然グローバルなIPになるわけですから非常に多くの「不明なIPアドレス」がキャプチャされていきます。

ここではIPがいったいどこの国のものか？どの団体が使用しているのか？と言った事を調べる方法を簡単に説明したいと思います。

・サイトを使う

一般的にこの様なIPはwhoisで調べる事ができます。

国名すら分からない場合はまずUwhois.comで管轄しているNICを調べる必要があります。

http://www.uwhois.com/をクリックして下さい。

※上記IPはwww.goo.ne.jpになります。

上記の様なサイトが登場すると思いますので（画面は2003年5月現在）[Search]欄に検索したいIPを入力します。

すると「そのIP」を管轄しているNICの名前、ホストが割り当てられている場合はホスト名が表示されます。

NICが判明すると該当するNICのwhoisで再度IPの検索をします。上記のIPの場合、管轄NICはJPNICになりますのでJPNICのJPNIC Whois Gatewayで検索する必要があります。

ここで出てくる結果表示はNICにもよりますがほとんどの場合、そのIPを管理しているISPや企業、団体名が出てきます。（上記Uwhois.comでも出てきますが詳細度が違います）

・ソフトを使う（WINDOWS）

このIPアドレスは一体どこ（国名）から来ているのか？という疑問に答える為に開発されたソフトがあります。

それがWhois-ipというソフトです。

以外と日本ではまだ何故かマイナーな位置にあるソフトですが私は前から愛用していますのでこれを紹介したいと思います。

whois-ipはIPからそれを管理している国を検索して表示してくれる機能を持っています。

ダウンロードはWhois-ipから行う事ができます。

セットアップが完了すると下記アイコンが登場しますのでクリックしてみてください。

使用方法は非常に簡単です。[IPaddress]欄に検索したいIPを入力して[Seach]をクリックします。

自動的にPIPE、APNIC、ARINのデータベースを検索し、IPを所持している国を判別します。その後にそれぞれの国にあるWhoisでIPを入力してIPの管理者を割り出すというものです。

・ASを調べる（UNIX）

役に立つかどうか分かりませんが私は使うので説明したいと思います。

下記の事がなんの事か分からない方の場合はおそらく必要ありません。というよりかはEtherealでBGPのキャプチャをする機会がある方は非常に限られていると思いますので・・・

BGPでWAN側とセッションを張っている場合はIPというよりかはAS番号が気になると思います。ASはNICでも調べる事ができますが便利な方法ががありますので２つばかり紹介したいと思います。

ツールとしてはKuniaki Kondoさん作のASLOOKUPが便利です。ここからダウンロードをする事が可能です。

一応対応OSはFreeBSD 2.2.6R・Solaris 2.6となっていますがSolaris2.8・2.9でも動作はできました。使い方はいたって簡単で

#aslookup [AS番号又はIP]

IPの場合は管轄しているグループのAS番号が分かるという訳ではありません。従ってこれはAS番号から管轄しているISPを調べるのに使用します。情報も非常に簡潔です。

余談ですがaslookupはCISCOのsh ip bgpの結果表示を読み取るという非常に便利な機能もついています。

もうひとつは本家のRADBにあるWhoisを使用します。サイトのWhoisで直接調べても問題はありませんが私はWhoisコマンドを使用します。

#whois -h whois.radb.net [IP若しくはAS番号]

この場合はIPからでも非常に詳しい情報を得る事ができます。ただAS番号を指定する時は必ず[AS]と数値の手前に文字を入れる必要があります。

BGPをキャプチャすれば分かりますがキャプチャ結果からASを見るのは非常に困難です。従ってFilter定義を下記の様にしてAS番号が入ったキャプチャ結果だけを表示する事をお薦めします。

bgp.as_path

ASパス情報がついたパケットだけが表示されます。