這裡用到的是 geoip (是某個組織專門在收集 ip 是那個國家、City)

而wireshark 現在有支援 geoip了

1。原本的wireshark在IP的source ip 與 destination ip 地方,就只是單純的ip資訊

2。現在可以設定支援 geoip,在 Wireshark → Edit →Preferences → Protocols → IP → 勾選 enable geoip lookups

3。下載geoip 資料庫檔

城市名資料庫檔 http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
國家名資料庫檔 http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz

將這兩個解開

4。再來指定 geoip資料庫檔,Wireshark → Edit →Preferences → Name Resolution → GeoIP database directories → Edit → 新增路徑 (看你把這兩個檔案放在那裡)

4。打開的 geoip 功能可以馬上看到wireshark有這樣子的資訊出現,不過還是需要重開 wireshark 才能讓geoip功能生效

5。重開後可以看到國家名、城市名、經緯度

PS: 其實 IP 也是可以使用 whois 來查它的國家名的,我常用 whois365.com

Related posts 相關文章
cloudshark 就像是 wireshark 的 web 版
More...
IMSpector 側錄 MSN
More...
wireshark 的應用之封包還原檔案
More...
wireshark 的應用之取得filezilla的密碼
More...

作者

留言

撰寫回覆或留言

發佈留言必須填寫的電子郵件地址不會公開。