从实践中学习Wireshark数据分析

Wireshark是一款业界知名的数据捕获和分析工具。它不仅支持几百种网络协议的解析，还提供了大量的分析功能，能满足不同用户的数据分析需求。同时，它提供了丰富的用户接口，允许用户以图形化和命令行等多种方式使用。本书基于Wireshark 3，详细讲解了数据抓包和分析的相关技术。书中首先介绍了环境搭建、数据捕获、数据处理和数据呈现；然后详细介绍了数据分析的各种功能和应用技巧，如显示过滤器、分组分析和着色规则等；最后详细介绍了常见网络协议的数据分析方式，包含网络基础协议（ARP、DNS、DHCP）、数据传输协议（TCP、UDP）和高级应用协议（HTTP、SMTP/POP3、SMB）等。

前言
第1章网络数据分析概述1
1.1网络数据传输1
1.1.1网络构成1
1.1.2数据传输2
1.1.3网络类型3
1.2网络协议6
1.2.1OSI模型6
1.2.2TCP/IP协议族7
1.3Wireshark概述9
1.3.1Wireshark的历史9
1.3.2获取Wireshark软件10
1.3.3Windows系统安装Wireshark11
1.3.4MacOS系统安装Wireshark16
1.3.5Linux系统安装Wireshark21
第2章捕获数据包22
2.1指定网络接口22
2.1.1接口种类22
2.1.2选择接口24
2.1.3捕获USB设备包29
2.2使用管道接口32
2.2.1添加管道接口32
2.2.2捕获管道接口数据34
2.3远程捕获数据包35
2.3.1管理远程接口36
2.3.2Windows下配置rpcapd服务36
2.3.3Linux下配置rpcapd服务41
2.3.4添加远程接口42
2.3.5实施远程捕获数据包44
2.4使用捕获过滤器46
2.4.1指定捕获过滤器46
2.4.2基于类型过滤49
2.4.3基于传输方向过滤51
2.4.4基于协议过滤54
2.4.5基于数据过滤56
2.4.6使用多个捕获过滤器57
2.4.7使用预置表达式57
第3章数据处理60
3.1保存文件60
3.1.1自动保存文件60
3.1.2手动保存文件68
3.2打开文件72
3.2.1打开抓包文件73
3.2.2文件属性76
3.2.3合并抓包文件79
3.2.4导入转储文件82
3.3快速分析86
3.3.1关联地址86
3.3.2协议构成88
3.3.3数据包长度89
3.3.4数据流量90
3.3.5发包统计95
第4章数据呈现98
4.1分组列表98
4.1.1默认列98
4.1.2编辑现有列100
4.1.3添加/删除列104
4.1.4隐藏/移动/重排列112
4.2分组详情117
4.2.1查看方式117
4.2.2操作树形结构118
4.2.3专家信息123
4.3分组字节流125
4.3.1数值形式126
4.3.2文本形式129
4.3.3分析分组字节131
第5章显示过滤器133
5.1基础使用133
5.1.1使用显示过滤器133
5.1.2获取显示过滤器表达式136
5.1.3使用单一显示过滤器143
5.1.4使用多个显示过滤器150
5.1.5高级过滤器150
5.2使用技巧152
5.2.1使用显示过滤器按钮152
5.2.2使用对话过滤器157
5.2.3基于显示过滤器保存158
5.2.4使用预置表达式160
5.2.5使用宏162
第6章分析手段165
6.1分析分组165
6.1.1查找信息165
6.1.2复制信息167
6.2基于时间分析173
6.2.1时间格式173
6.2.2设置时间参考174
6.2.3修正显示的时间177
6.3名称解析179
6.3.1MAC地址解析179
6.3.2端口自动解析182
6.3.3IP地址解析185
6.4协议解析186
6.4.1启用协议186
6.4.2指定解析的协议188
6.5数据包分组190
6.5.1标记分组191
6.5.2导出分组结果194
6.5.3忽略分组197
6.6分组注释199
6.7跳转分析202
6.7.1顺序跳转202
6.7.2指定跳转分组205
6.7.3对话内跳转207
6.7.4历史记录跳转208
6.8着色规则209
6.8.1启用着色规则209
6.8.2设置着色规则210
6.8.3对话着色214
第7章无线网络抓包和分析216
7.1软硬件需求216
7.1.1Wireshark组件需求216
7.1.2硬件需求217
7.2捕获数据218
7.2.1捕获数据包218
7.2.2流量基本分析223
7.2.3捕获过滤226
7.3分析数据227
7.3.1常用显示过滤器227
7.3.2分析认证方式229
7.3.3分析WEP握手包231
7.3.4分析WPA握手包236
7.4数据解密241
7.4.1WEP解密242
7.4.2WPA解密244
7.4.3较为解密247
第8章网络基础协议数据包分析250
8.1ARP分析250
8.1.1过滤ARP包250
8.1.2分析ARP会话251
8.1.3发现ARP攻击254
8.2DHCP分析258
8.2.1过滤DHCP包258
8.2.2分析DHCP会话259
8.2.3数据统计266
8.3DNS分析267
8.3.1过滤DNS包268
8.3.2分析DNS会话269
8.3.3数据统计271
第9章TCP协议数据分析273
9.1捕获TCP数据包273
9.1.1捕获过滤273
9.1.2端点分析274
9.1.3端口过滤277
9.2会话分析281
9.2.1会话统计281
9.2.2建立连接285
9.2.3断开连接293
9.2.4防火墙过滤301
9.3传输数据分析303
9.3.1跟踪流303
9.3.2保存流308
9.3.3TCP流图形309
第10章UDP协议数据分析315
10.1基础分析315
10.1.1捕获过滤315
10.1.2端点分析318
10.1.3会话分析319
10.2传输数据分析323
10.2.1跟踪流323
10.2.2保存流327
10.2.3UDP多播流328
第11章HTTP协议数据包分析332
11.1过滤数据包332
11.1.1捕获过滤332
11.1.2显示过滤335
11.2IP地址分析337
11.2.1结合DNS数据包分析337
11.2.2结合DNS缓存338
11.2.3自动解析341
11.2.4地址位置信息344
11.2.5网站汇总348
11.2.6编辑解析的名称349
11.3请求分析351
11.3.1请求概要351
11.3.2请求目标353
11.3.3URL数据传递355
11.3.4表单数据传递357
11.3.5Cookie数据传递359
11.3.6请求端类型362
11.4响应分析363
11.4.1请求和响应对应关系364
11.4.2响应状态码366
11.4.3查看网页内容368
11.4.4跟踪流370
11.4.5保存流374
11.4.6导出HTTP对象375
11.5HTTPS分析377
11.5.1TLS流377
11.5.2导出TLS会话密钥380
11.5.3HTTPS统计分析381
11.5.4解密HTTPS数据381
第12章其他应用协议数据包分析388
12.1SMTP/POP3分析388
12.1.1过滤SMTP/POP数据包388
12.1.2分析SMTP会话389
12.1.3导出IMF对象392
12.2SMB分析393
12.2.1过滤SMB数据包394
12.2.2导出SMB对象395
12.3TFTP分析396
12.3.1过滤TFTP数据包396
12.3.2导出TFTP对象397
12.4SCTP分析398
12.4.1过滤SCTP数据包398
12.4.2SCTP分析399
12.5FTP分析401
12.5.1过滤FTP数据包401
12.5.2重组FTP数据406
附录AWireshark命令行工具409
A.1捕获文件信息查看工具capinfos409
A.1.1基本使用409
A.1.2报告形式410
A.1.3信息种类414
A.1.4杂项415
A.2数据包捕获保存工具dumpcap416
A.2.1捕获数据416
A.2.2远程捕获419
A.2.3自动停止捕获420
A.2.4保存文件421
A.3编辑捕获文件editcap422
A.3.1基本语法422
A.3.2移除指定的数据包424
A.3.3去除重复的数据包424
A.3.4修正时间425
A.3.5截断存储425
A.3.6随机修改426
A.3.7合并文件426
A.3.8修改注释426
A.3.9文件集合426
A.3.10修改密钥427
A.3.11杂项427
A.4数据包分析工具tshark428
A.4.1捕获数据428
A.4.2自动停止捕获430
A.4.3远程捕获431
A.4.4处理方式431
A.4.5保存文件433
A.4.6输出信息434
A.4.7杂项439
A.5简易数据文件分析工具rawshark439
A.6其他工具440
A.6.1显示过滤器字节码查看工具dftest441
A.6.2合并捕获文件mergecap441
A.6.3解析IP地理信息工具mmdbresolve442
A.6.4数据包排序工具reordercap443
A.6.5十六进制文本数据转化工具text2pcap443