使用WireShark生成地理位置数据地图(含演示视频)

发表于:2016-12-19 10:30:00 来源:  黑客与极客 阅读数(0人)



我们将会在这篇文章中教会大家如何使用MaxmindGeoLite数据库来生成一个地理位置数据地图。虽然我们的演示实例是在Linux操作系统(Kali Linux 2016.2)上完成的,但是这个方法同样可以在Windows平台上正常实现。


我们将会使用Wireshark来分析一个pcap文件,然后通过GeoLite数据库来实现在地图上定位每一个IP地址,最终生成一个能够显示地理位置信息的数据地图。


视频演示如何生成一个GeoIP地图


第一步:我们需要下载GeoIP数据库【GeoLite下载地址】:




第二步:提取所有的文件,然后保存到同一个文件夹中。


第三步:打开WireShark。


A):点击“Edit”

B):选择“Preferences”



C):选择“Name Resolution”

D):添加GeoIP数据库目录



E):点击“+”,选择你在第二步中用于保存所有文件的文件夹

第四步:重启WireShark。


为了使你所修改的配置生效,你需要重启WireShark。重启完成之后,你可以打开一个旧的pcap文件,或者重新捕捉网络通信数据包。


A):打开你所要分析的pcap文件

B):选择“Statistics”->“Endpoints”->“IPv4”->“Map”



点击了“Map”之后,你的Web浏览器会加载一个地图,地图上的每一个点代表的是你网络数据包中的IP地址,当你点击了地图上的点后,系统会将相应的IP地址显示出来,具体如下图所示。




FreeBuf百科:WireShark


Wireshark(前称Ethereal)是一个网络封包分析软件。这款网络封包分析软件的功能是捕获网络封包,并尽可能显示出最为详细的网络封包数据。Wireshark使用WinPCAP作为接口,可以直接与网卡进行数据报文交换。这款网络封包分析软件的功能可想像成”电工技师使用电表来量测电流、电压、电阻” 的工作,只不过是将场景移植到了网络上,并将电线替换成网络线。


在此之前,网络封包分析软件是非常昂贵的,这些产品往往都是专门用来盈利的软件。Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障范围之下,使用者可以免费使用相应软件与其源代码,并拥有针对其源代码修改及定制化的权利。Wireshark是目前全世界最广泛的网络封包分析软件之一,2006年6月,因为商标的问题,Ethereal正式更名为Wireshark。


相关新闻

大家都在学

课程详情

小白进阶

课程详情

逆向工具大全

课程详情

网络攻防工具