使用WireShark生成地理位置資料地圖
我們將會在這篇文章中教會大家如何使用MaxmindGeoLite資料庫來生成一個地理位置資料地圖。雖然我們的演示例項是在Linux作業系統(Kali Linux 2016.2)上完成的,但是這個方法同樣可以在Windows平臺上正常實現。
我們將會使用Wireshark來分析一個pcap檔案,然後通過GeoLite資料庫來實現在地圖上定位每一個IP地址,最終生成一個能夠顯示地理位置資訊的資料地圖。
視訊演示如何生成一個GeoIP地圖
第一步:我們需要下載GeoIP資料庫【GeoLite下載地址】:
第二步:提取所有的檔案,然後儲存到同一個資料夾中。
第三步:開啟WireShark。
A):點選“Edit”
B):選擇“Preferences”
C):選擇“Name Resolution”
D):新增GeoIP資料庫目錄
E):點選“+”,選擇你在第二步中用於儲存所有檔案的資料夾
第四步:重啟WireShark。
為了使你所修改的配置生效,你需要重啟WireShark。重啟完成之後,你可以開啟一箇舊的pcap檔案,或者重新捕捉網路通訊資料包。
A):開啟你所要分析的pcap檔案
B):選擇“Statistics”->“Endpoints”->“IPv4”->“Map”
點選了“Map”之後,你的Web瀏覽器會載入一個地圖,地圖上的每一個點代表的是你網路資料包中的IP地址,當你點選了地圖上的點後,系統會將相應的IP地址顯示出來,具體如下圖所示。
FreeBuf百科:WireShark
Wireshark(前稱Ethereal)是一個網路封包分析軟體。這款網路封包分析軟體的功能是捕獲網路封包,並儘可能顯示出最為詳細的網路封包資料。Wireshark使用WinPCAP作為介面,可以直接與網絡卡進行資料報文交換。這款網路封包分析軟體的功能可想像成”電工技師使用電錶來量測電流、電壓、電阻” 的工作,只不過是將場景移植到了網路上,並將電線替換成網路線。
在此之前,網路封包分析軟體是非常昂貴的,這些產品往往都是專門用來盈利的軟體。Wireshark的出現改變了這一切。在GNUGPL通用許可證的保障範圍之下,使用者可以免費使用相應軟體與其原始碼,並擁有針對其原始碼修改及定製化的權利。Wireshark是目前全世界最廣泛的網路封包分析軟體之一,2006年6月,因為商標的問題,Ethereal正式更名為Wireshark。
* 參考來源:kalitut,FB小編Alpha_h4ck編譯,轉載請註明來自FreeBuf.COM