我们将会在这篇文章中教会大家如何使用MaxmindGeoLite数据库来生成一个地理位置数据地图。虽然我们的演示实例是在Linux操作系统(Kali Linux 2016.2)上完成的,但是这个方法同样可以在Windows平台上正常实现。
我们将会使用Wireshark来分析一个pcap文件,然后通过GeoLite数据库来实现在地图上定位每一个IP地址,最终生成一个能够显示地理位置信息的数据地图。
第一步:我们需要下载GeoIP数据库【 GeoLite下载地址 】:
第二步:提取所有的文件,然后保存到同一个文件夹中。
第三步:打开WireShark。
A):点击“Edit”
B):选择“Preferences”
C):选择“Name Resolution”
D):添加GeoIP数据库目录
E):点击“+”,选择你在第二步中用于保存所有文件的文件夹
第四步:重启WireShark。
为了使你所修改的配置生效,你需要重启WireShark。重启完成之后,你可以打开一个旧的pcap文件,或者重新捕捉网络通信数据包。
A):打开你所要分析的pcap文件
B):选择“Statistics”->“Endpoints”->“IPv4”->“Map”
点击了“Map”之后,你的Web浏览器会加载一个地图,地图上的每一个点代表的是你网络数据包中的IP地址,当你点击了地图上的点后,系统会将相应的IP地址显示出来,具体如下图所示。
Wireshark(前称Ethereal)是一个网络封包分析软件。这款网络封包分析软件的功能是捕获网络封包,并尽可能显示出最为详细的网络封包数据。Wireshark使用WinPCAP作为接口,可以直接与网卡进行数据报文交换。这款网络封包分析软件的功能可想像成”电工技师使用电表来量测电流、电压、电阻” 的工作,只不过是将场景移植到了网络上,并将电线替换成网络线。
在此之前,网络封包分析软件是非常昂贵的,这些产品往往都是专门用来盈利的软件。Wireshark的出现改变了这一切。在GNUGPL通用许可证的保障范围之下,使用者可以免费使用相应软件与其源代码,并拥有针对其源代码修改及定制化的权利。Wireshark是目前全世界最广泛的网络封包分析软件之一,2006年6月,因为商标的问题,Ethereal正式更名为Wireshark。
* 参考来源: kalitut ,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM