Wireshark使用技巧-GeoIP显示IP地理位置

在使用Wireshark时，有的时候需要知道抓取的报文中某个IP地址的具体地理位置，笨一点的方法是将IP地址复制，然后通过一些软件或网站来进行查询。其实，Wireshark本身就带有这样的功能，只要到特定的网站下载一个IP地址库，然后进行简单的设置就可以了。

1、查看Wireshark是否支持GeoIP，点击Help→About Wireshark， 然后在 ”Compiled with” 段落中查找，默认的编译都是包括了对该库的支持。

2、从以下网址下载IP地址库，下载完解压将名字修改为GeoIP.dat。
http://geolite.maxmind.com/download/geoip/database/，
建议下载http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz，虽然比较大，但是显示的信息很详细。

3、下载完后，必须让Wireshark知道IP地址库放在什么位置。可以通过 Edit→Preferences→Name Resolution，选择GeoIP database directories来进行修改。如下图所示：

4、修改完后，退出Wireshark并重启。抓取报文，可以在Statistics→Endpoints中包含所有IP地址的页面看到GeoIP信息。如果想在协议头部窗口看到IP地理位置信息，可以通过 Edit→Preferences→Protocols→IP，允许 GeoIP lookups 选项即可。