Ver a que paises nos conectamos

Buenas, cuando estamos fortificando nuestra red nos centramos mucho en denegar peticiones entrantes y que no entre nada que no nos interese, pero a veces nos olvidamos de controlar que está permitido que nosotros enviemos al exterior.

Existen varias aplicaciones que monitorización de tráfico que nos pueden ayudar (p.e. ntop) pero yo quiero saber a que país me conecto, me la suda a que dirección web o que servicio. ¿Porque? pues porque normalmente los troyanos suelen conectarse a países concretos como China, Malasya, etc así si veo que algo se conecta a uno de esos países con los que no debería conectar ya tengo una primera alerta en el ojete.

Aquí dejo el script:

#!/bin/bash
#############################################
# Script para mirar a que paises me conecto
# troyanoooo jodeputaaaaaarrrrllll
#############################################
SNIFFILE="snif.txt"
DESTIPFILE="destip.txt"
IPSCANEDFILE="scanedip.txt"
IPTOSCAN="iptoscan.txt"
PAISESFILE="pais.txt"

#verificamos que exista la "BD" de ip's scaneadas
if [ -f $IPSCANEDFILE ];
then
   :
else
   touch $IPSCANEDFILE
fi

#recogemos lo que pasa por la red por 15 segundos (o tcpdump -c ### ...)
tcpdump -i eth0 -nn port not 22 | grep \> | grep "IP " > $SNIFFILE &
TCPDUMPPID=$(pidof tcpdump)
sleep 15

#matamos proceso y esperamos 5 secs a crear el fichero
kill $TCPDUMPPID
sleep 5

# cogemos la IP destino de la conexión y eliminamos ips internas, broadcast 
awk '{print $5}' $SNIFFILE | sort -u | 

perl -nle '/[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+/ and print $&' | 
sed '/192.168/d' | sed '/255.255.255.255/d' | 
sed '/192.0.2/d' | sort -u > $DESTIPFILE

#miramos si hay ip's nuevas a escanear y actualizamos el fichero de ip scaneadas
diff --new-line-format="" --unchanged-line-format="" $DESTIPFILE $IPSCANEDFILE > $IPTOSCAN
cat $IPTOSCAN >> $IPSCANEDFILE
sort $IPSCANEDFILE > /tmp/tmpf
mv -f /tmp/tmpf $IPSCANEDFILE

# buscamos Pais de las ip
for ip in $(cat $IPTOSCAN)
do
   curl ipinfo.io/$ip >> $PAISESFILE
done