Wireshark使用技巧-GeoIP显示IP地理位置
在使用Wireshark时,有的时候需要知道抓取的报文中某个IP地址的具体地理位置,笨一点的方法是将IP地址复制,然后通过一些软件或网站来进行查询。其实,Wireshark本身就带有这样的功能,只要到特定的网站下载一个IP地址库,然后进行简单的设置就可以了。
查看Wireshark是否支持GeoIP,点击Help→About Wireshark, 然后在 ”Compiled with” 段落中查找,默认的编译都是包括了对该库的支持。
从以下网址下载IP地址库,下载完解压将名字修改为GeoIP.dat。
http://geolite.maxmind.com/download/geoip/database/,
建议下载http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz,虽然比较大,但是显示的信息很详细。
下载完后,必须让Wireshark知道IP地址库放在什么位置。可以通过 Edit→Preferences→Name Resolution,选择GeoIP database directories 来进行修改。如下图所示:
修改完后,退出Wireshark并重启。抓取报文,可以在Statistics→Endpoints中包含所有IP地址的页面看到GeoIP信息。如果想在协议头部窗口看到IP地理位置信息,可以通过 Edit→Preferences→Protocols→IP,允许 GeoIP lookups 选项即可