我們將會在這篇文章中教會大家如何使用MaxmindGeoLite資料庫來生成一個地理位置資料地圖。雖然我們的演示例項是在Linux作業系統（Kali Linux 2016.2）上完成的，但是這個方法同樣可以在Windows平臺上正常實現。

我們將會使用Wireshark來分析一個pcap檔案，然後通過GeoLite資料庫來實現在地圖上定位每一個IP地址，最終生成一個能夠顯示地理位置資訊的資料地圖。

視訊演示如何生成一個GeoIP地圖

第一步：我們需要下載GeoIP資料庫【GeoLite下載地址】：

第二步：提取所有的檔案，然後儲存到同一個資料夾中。

第三步：開啟WireShark。

A):點選“Edit”

B):選擇“Preferences”

C):選擇“Name Resolution”

D):新增GeoIP資料庫目錄

E):點選“+”，選擇你在第二步中用於儲存所有檔案的資料夾

第四步：重啟WireShark。

為了使你所修改的配置生效，你需要重啟WireShark。重啟完成之後，你可以開啟一箇舊的pcap檔案，或者重新捕捉網路通訊資料包。

A):開啟你所要分析的pcap檔案

B):選擇“Statistics”->“Endpoints”->“IPv4”->“Map”

點選了“Map”之後，你的Web瀏覽器會載入一個地圖，地圖上的每一個點代表的是你網路資料包中的IP地址，當你點選了地圖上的點後，系統會將相應的IP地址顯示出來，具體如下圖所示。

FreeBuf百科：WireShark

Wireshark（前稱Ethereal）是一個網路封包分析軟體。這款網路封包分析軟體的功能是捕獲網路封包，並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面，可以直接與網絡卡進行資料報文交換。這款網路封包分析軟體的功能可想像成”電工技師使用電錶來量測電流、電壓、電阻” 的工作，只不過是將場景移植到了網路上，並將電線替換成網路線。

在此之前，網路封包分析軟體是非常昂貴的，這些產品往往都是專門用來盈利的軟體。Wireshark的出現改變了這一切。在GNUGPL通用許可證的保障範圍之下，使用者可以免費使用相應軟體與其原始碼，並擁有針對其原始碼修改及定製化的權利。Wireshark是目前全世界最廣泛的網路封包分析軟體之一，2006年6月，因為商標的問題，Ethereal正式更名為Wireshark。

* 參考來源：kalitut，FB小編Alpha_h4ck編譯，轉載請註明來自FreeBuf.COM