Wireshark - 如何在截取的封包中自動進行IP反查

        相信大家都對Wireshark都不陌生，但在分析的過程中，我們有時候希望可以針對截取到的IP進行反追蹤，如透過WHOIS的網站進行反查詢，今天我們來介紹如何透過GeoIP的資料庫，讓截取到的封包也能自動的顯示IP資訊。

MaxMind推出GeoIP的服務，可以透過Web Service或是程式的方式進行，但是由於需要額外的付費，所以我們可以透過下載簡易資料集進行，下列是下載的網址，資料集主要分成City、Country、ASN(IP所屬國)三種類型，此簡易資料集並非完整對應到所有的資訊，所以大家可以嘗試看看，如有進一步的需求，可以購買他們的產品，資訊會更完整。

公司介紹：https://www.maxmind.com/en/home?pkit_lang=en
GeoIP產品介紹：http://dev.maxmind.com/geoip/
資料下載：http://dev.maxmind.com/geoip/legacy/geolite/

GeoLite Legacy Downloadable Databases
CityData： http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
CountryData：http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
ASNData：http://download.maxmind.com/download/geoip/database/asnum/GeoIPASNum.dat.gz

相關授權與說明：
https://www.maxmind.com/en/geoip2-databases


安裝說明

1、如果你的Wireshark版本太舊時，會無法支援，請先檢查Wireshark是否支援GeoIP，如果太舊時，請重新至Wireshark官網進行下載。

       1-1 開啟Wireshark後，點選Help -> About Wireshark

2、請先在下列的位置上建立資料夾。

C:\Program Files\Wireshark\etc\GeoLite

3、請先分別下載下列的三個資料集，到上述的位置中。

CityData： http://geolite.maxmind.com/download/geoip/database/GeoLiteCity.dat.gz
CountryData：http://geolite.maxmind.com/download/geoip/database/GeoLiteCountry/GeoIP.dat.gz
ASNData：http://download.maxmind.com/download/geoip/database/asnum/GeoIPASNum.dat.gz


4、下載後請分別將下載的檔案解壓縮後統一放置在GeoLite的目錄下，如下列所示。

5、開啟Wireshark -> Edit -> Preferences ->Name Resolution -> GeoIP database directories -> Edit

6、請將資料庫的位置指定到步驟一的資料夾位置，如下圖所示。

7、設定完成後，請先關閉並重新啟動Wireshark。

8、再次開啟時，你可以嘗試收集如開啟一個網站或Ping某一個Domain Name，然後再進行停止，如下列的圖示即可秀出IP的進階資訊。

9、如果你想要停用此功能的話，你可以透過下列的方式進行停用(啟用)。

透過上述的介紹，我們可以在分析封包的過程中同時進行IP的解析，相信對大家有小小的幫助，後續我會再同時收集Wireshark的案例再與大家分享。

關鍵字：Wireshark、GeoIP