Wireshark 地图化显示端点统计信息

当有端点统计数据后，分析人员可以借助 MaxMind GeoLite 数据库将 IP 地址转化为地理位置信息，从而将抽象的 IP 信息转化为地图信息。下面演示一个例子，将 Wireshark 配置使用 MaxMind GeoLite 数据库定位到一个地图上。

1、打开 Wireshark

2、在 http://dev.maxmind.com/geoip/legacy/geolite/ 下载免费的 GeoLite 数据库文件，名称为 GeoLiteCity.dat

3、启用 GeoIP 功能。在本地磁盘上创建一个 maxmind 目录（任意），并把下载的 GeoLiteCity.dat 文件放在该目录中。然后选择 Edit|Preferences|Name Resolution，将显示如下界面。

4、在该界面中，单击 GeoIP Database Directories 后面的 Edit 按钮，显示如下界面。

5、在该界面单击 New 按钮，选择 maxmind 目录。然后单击 OK 按钮，关闭 GeoIP Database Paths 窗口。

6、重启 Wireshark，使 GeoIP 信息生效。然后在工具栏中依次选择 Statistics|Endpoints，打开如下界面。

7、在该界面选择 IPv4 选项卡，从中可以看到添加了 Country、City、Latitude 和 Longitude 几列信息，如下图所示。

8、此时单击 Map 按钮，即可将所有数据包定位在一个地图上，如下图所示。

9、在该界面中的每个图标表示一个端点统计条目。单击该图标，即可看到该条目 IP 地址对应的国家、城市、包数和字节数