使用WireShark生成地理位置數據地圖（含演示視頻）

我們將會在這篇文章中教會大家如何使用MaxmindGeoLite資料庫來生成一個地理位置數據地圖。雖然我們的演示實例是在Linux操作系統（Kali Linux 2016.2）上完成的，但是這個方法同樣可以在Windows平台上正常實現。

我們將會使用Wireshark來分析一個pcap文件，然後通過GeoLite資料庫來實現在地圖上定位每一個IP地址，最終生成一個能夠顯示地理位置信息的數據地圖。

視頻演示如何生成一個GeoIP地圖

第一步：我們需要下載GeoIP資料庫【GeoLite下載地址】：

第二步：提取所有的文件，然後保存到同一個文件夾中。

第三步：打開WireShark。

A):點擊「Edit」

B):選擇「Preferences」

C):選擇「Name Resolution」

D):添加GeoIP資料庫目錄

E):點擊「+」，選擇你在第二步中用於保存所有文件的文件夾

第四步：重啟WireShark。

為了使你所修改的配置生效，你需要重啟WireShark。重啟完成之後，你可以打開一個舊的pcap文件，或者重新捕捉網路通信數據包。

A):打開你所要分析的pcap文件

B):選擇「Statistics」->「Endpoints」->「IPv4」->「Map」

點擊了「Map」之後，你的Web瀏覽器會載入一個地圖，地圖上的每一個點代表的是你網路數據包中的IP地址，當你點擊了地圖上的點後，系統會將相應的IP地址顯示出來，具體如下圖所示。

FreeBuf百科：WireShark

Wireshark（前稱Ethereal）是一個網路封包分析軟體。這款網路封包分析軟體的功能是捕獲網路封包，並儘可能顯示出最為詳細的網路封包數據。

Wireshark使用WinPCAP作為介面，可以直接與網卡進行數據報文交換。

這款網路封包分析軟體的功能可想像成」電工技師使用電錶來量測電流、電壓、電阻」 的工作，只不過是將場景移植到了網路上，並將電線替換成網路線。

在此之前，網路封包分析軟體是非常昂貴的，這些產品往往都是專門用來盈利的軟體。Wireshark的出現改變了這一切。在GNUGPL通用許可證的保障範圍之下，使用者可以免費使用相應軟體與其源代碼，並擁有針對其源代碼修改及定製化的權利。

Wireshark是目前全世界最廣泛的網路封包分析軟體之一，2006年6月，因為商標的問題，Ethereal正式更名為Wireshark。

* 參考來源：

kalitut

，FB小編Alpha_h4ck編譯，轉載請註明來自

FreeBuf.COM