Wireshark数据包分析实战(第3版)

借助 Wireshark 这款世界流行的网络嗅探器，不管是有线网络还是无线网络，读者都可以很容易地捕获到网络中的数据包。但是，如何使用这些数据包来理解网络状况呢？ 本书内容针对 Wireshark 2.x 版本进行了更新，以帮助读者掌握数据包捕获的方法，从而更好地解决网络问题。本书新增了 IPv6 和 SMTP 的相关知识，并讨论了 TShark 和 Tcpdump 两种命令行包分析工具的使用方法。此外，本书还介绍了使用数据包结构图查看和表示数据包的内容。 您将学到： 实时监控网络，并参与实时网络通信； 构建自定义的捕获过滤器和显示过滤器； 使用包分析来解决常见的网络问题，如连接丢失、DNS问题和网络性能缓慢等； 在数据包级别探索现代漏洞和恶意软件； 从捕获的数据包中提取通过网络发送的文件； 绘制流量模式使网络中传输的数据可视化； 使用Wireshark高 级特性来理解令人困惑的捕获文件； 构建统计数据和报告，以便更好地向非技术人员解释技术性的网络信息。 无论是初学者还是有一定经验的网络技术人员，都将通过本书学会如何使用 Wireshark 完成网络任务，从而更加深入地理解网络概念。 本书内容丰富，设计巧妙又通俗易懂。老实说，这本数据包分析的图书让我倍感兴奋。 —TechRepublic 强烈建议初级网络分析师、软件开发人员和刚刚取得CSE/CISSP等认证的人员阅读本书。读完本书后，你们只需要卷起袖子，就可以动手排除网络（和安全）问题了。 —Gunter Ollmann, IOActive前首 席技术官 下一次再排查网络变慢的问题时，我将求助本书。对任何技术图书来说，这或许是我能给的好的评价。 —Michael W. Lucas，Absolute FreeBSD and Network Flow Analysis作者 无论你负责多大规模的网络管理，本书都必不可少。 —Linux Pro Magazine 本书写作精良、简单易用、格式良好，相当实用。 —ArsGeek.com 如果你想要熟练掌握数据包分析的基本知识，那么本书是一个不错的选择。 —State Of Security 本书内容丰富，紧扣“实战”主题。它向读者提供了进行数据包分析所需的信息，并借助于真实的实例演示了Wirshark的用途。 —LinuxSecurity.com 网络中有未知的主机之间在互相通信吗？ 我的机器正在与陌生的主机通信吗？ 你只需要一个数据包嗅探器就可以找到这些问题的答案，Wireshark是完成这项工作的工具之一，而本书是了解该工具的方法之一。 —Free Software Magazine 本书是数据包分析初学者和进阶者的理想之选。 —D

Wireshark是流行的网络嗅探软件，《Wireshark数据包分析实战（第3版）》在上一版的基础上针对Wireshark 2.0.5和IPv6进行了更新，并通过大量真实的案例对Wireshark的使用进行了详细讲解，旨在帮助读者理解Wireshark捕获的PCAP格式的数据包，以便对网络中的问题进行排错。《Wireshark数据包分析实战（第3版）》共13章，从数据包分析与数据包嗅探器的基础知识开始，循序渐进地介绍Wireshark的基本使用方法及其数据包分析功能特性，同时还介绍了针对不同协议层与无线网络的具体实践技术与经验技巧。在此过程中，作者结合大量真实的案例，图文并茂地演示使用Wireshark进行数据包分析的技术方法，使读者能够顺着本书思路逐步掌握网络数据包嗅探与分析技能。附录部分列举了数据包分析工具，以及其他数据包分析的学习资源，并对数据包的表现形式展开讨论，介绍如何使用数据包结构图查看和表示数据包。《Wireshark数据包分析实战（第3版）》适合网络协议开发人员、网络管理与维护人员、“不怀好意的”的黑客、选修网络课程的高校学生阅读。

 

第1章数据包分析技术与网络基础1
1.1数据包分析与数据包嗅探器2
1.1.1评估数据包嗅探器2
1.1.2数据包嗅探器工作过程3
1.2网络通信原理4
1.2.1协议4
1.2.2七层OSI参考模型5
1.2.3OSI参考模型中的数据流向7
1.2.4数据封装8
1.2.5网络硬件11
1.3流量分类16
1.3.1广播流量16
1.3.2组播流量17
1.3.3单播流量17
1.4小结17
第2章 监听网络线路18
2.1混杂模式19
2.2在集线器连接网络中嗅探20
2.3在交换式网络中进行嗅探22
2.3.1端口镜像22
2.3.2集线器输出24
2.3.3使用网络分流器26
2.3.4ARP缓存污染28
2.4在路由网络环境中进行嗅探33
2.5部署嗅探器的实践指南35
第3章Wireshark入门37
3.1Wireshark简史37
3.2Wireshark的优点38
3.3安装Wireshark39
3.3.1在微软Windows系统中安装40
3.3.2在Linux系统中安装41
3.3.3在Mac OS X系统中安装43
3.4Wireshark初步入门44
3.4.1第一次捕获数据包44
3.4.2Wireshark主窗口45
3.4.3Wireshark优选项46
3.4.4数据包彩色高亮48
3.4.5配置文件50
3.4.6配置方案51
第4章玩转捕获数据包53
4.1使用捕获文件53
4.1.1保存和导出捕获文件54
4.1.2合并捕获文件55
4.2分析数据包56
4.2.1保存和导出捕获文件56
4.2.2标记数据包57
4.2.3打印数据包58
4.3设定时间显示格式和相对参考59
4.3.1时间显示格式59
4.3.2数据包的相对时间参考60
4.3.3时间偏移61
4.4设定捕获选项61
4.4.1输入标签页61
4.4.2输出标签页62
4.4.3选项标签页64
4.5过滤器65
4.5.1捕获过滤器65
4.5.2显示过滤器71
4.5.3保存过滤器规则75
4.5.4在工具栏中增加显示过滤器76
第5章Wireshark高级特性77
5.1端点和网络会话77
5.1.1查看端点统计78
5.1.2查看网络会话79
5.1.3使用端点和会话定位优选用量者80
5.2基于协议分层结构的统计83
5.3名称解析84
5.3.1开启名称解析84
5.3.2名称解析的潜在弊端86
5.3.3使用自定义hosts文件86
5.4协议解析88
5.4.1更换解析器88
5.4.2查看解析器源代码90
5.5流跟踪91
5.6数据包长度94
5.7图形展示95
5.7.1查看IO图95
5.7.2双向时间图98
5.7.3数据流图99
5.8专家信息100
第6章用命令行分析数据包103
6.1安装TShark104
6.2安装Tcpdump105
6.3捕获和保存流量106
6.4控制输出108
6.5名称解析111
6.6应用过滤器112
6.7TShark里的时间显示格式114
6.8TShark中的总结统计114
6.9TShark VS Tcpdump117
第7章网络层协议119
7.1地址解析协议120
7.1.1ARP头121
7.1.2数据包1：ARP请求122
7.1.3数据包2：ARP响应123
7.1.4Gratuitous ARP124
7.2互联网协议125
7.2.1互联网协议第4版（IPv4）125
7.2.2互联网协议第6版（IPv6）133
7.3互联网控制消息协议144
7.3.1ICMP头144
7.3.2ICMP类型和消息145
7.3.3Echo请求与响应145
7.3.4路由跟踪148
7.3.5ICMP第6版（ICMPv6）150
第8章传输层协议151
8.1传输控制协议（TCP）151
8.1.1TCP报头152
8.1.2TCP端口153
8.1.3TCP的三次握手155
8.1.4TCP链接断开158
8.1.5TCP重置160
8.2用户数据报协议161
第9章常见高层网络协议163
9.1动态主机配置协议DHCP163
9.1.1DHCP头结构164
9.1.2DHCP续租过程165
9.1.3DHCP租约内续租170
9.1.4DHCP选项和消息类型171
9.1.5DHCP Version6 (DHCPv6)171
9.2域名系统173
9.2.1DNS数据包结构174
9.2.2一次简单的DNS查询过程175
9.2.3DNS问题类型177
9.2.4DNS递归177
9.2.5DNS区域传送181
9.3超文本传输协议184
9.3.1使用HTTP浏览184
9.3.2使用HTTP传送数据186
9.4简单邮件传输协议（SMTP）188
9.4.1收发邮件188
9.4.2跟踪一封电子邮件190
9.4.3使用SMTP发送附件197
9.5小结199
第10章 基础的现实世界场景200
10.1丢失的网页内容201
10.1.1侦听线路201
10.1.2分析202
10.1.3学到的知识206
10.2无响应的气象服务206
10.2.1侦听线路207
10.2.2分析208
10.2.3学到的知识211
10.3无法访问Internet211
10.3.1网关配置问题212
10.3.2意外重定向215
10.3.3上游问题218
10.4打印机故障221
10.4.1侦听线路221
10.4.2分析221
10.4.3学到的知识224
10.5分公司之困224
10.5.1侦听线路225
10.5.2分析225
10.5.3学到的知识228
10.6生气的开发者228
10.6.1侦听线路228
10.6.2分析229
10.6.3学到的知识232
10.7结语232
第11章 让网络不再卡233
11.1TCP的错误恢复特性234
11.1.1TCP重传234
11.1.2TCP重复确认和快速重传237
11.2TCP流控制242
11.2.1调整窗口大小243
11.2.2用零窗口通知停止数据流244
11.2.3TCP滑动窗口实战245
11.3从TCP错误控制和流量控制中学到的249
11.4定位高延迟的原因250
11.4.1正常通信250
11.4.2慢速通信——线路延迟251
11.4.3通信缓慢——客户端延迟252
11.4.4通信缓慢——服务器延迟253
11.4.5延迟定位框架253
11.5网络基线254
11.5.1站点基线255
11.5.2主机基线256
11.5.3应用程序基线257
11.5.4基线的其他注意事项257
11.6小结258
第12章 安全领域的数据包分析259
12.1网络侦察260
12.1.1SYN扫描260
12.1.2操作系统指纹265
12.2流量操纵268
12.2.1ARP缓存污染攻击268
12.2.2会话劫持273
12.3漏洞利用276
12.3.1极光行动277
12.3.2远程访问特洛伊木马283
12.4漏洞利用工具包和勒索软件290
12.5小结296
第13章 无线网络数据包分析297
13.1物理因素297
13.1.1一次嗅探一个信道298
13.1.2无线信号干扰299
13.1.3检测和分析信号干扰299
13.2无线网卡模式300
13.3在Windows上嗅探无线网络302
13.3.1配置AirPcap302
13.3.2使用AirPcap捕获流量303
13.4在Linux上嗅探无线网络304
13.5802.11数据包结构306
13.6在Packet List面板增加无线专用列307
13.7无线专用过滤器308
13.7.1筛选特定BSS ID的流量309
13.7.2筛选特定的无线数据包类型309
13.7.3筛选特定频率310
13.8保存无线分析配置311
13.9无线网络安全311
13.9.1成功的WEP认证312
13.9.2失败的WEP认证313
13.9.3成功的WPA认证314
13.9.4失败的WPA认证316
13.10小结318
附录A延伸阅读319
附录B分析数据包结构325