內容簡介
Wireshark是流行的網路嗅探軟體,《Wireshark數據包分析實戰(第3版)》在上一版的基礎上針對Wireshark 2.0.5和IPv6進行了更新,並通過大量真實的案例對Wireshark的使用進行了詳細講解,旨在幫助讀者理解Wireshark捕獲的PCAP格式的數據包,以便對網路中的問題進行排錯。
《Wireshark數據包分析實戰(第3版)》共13章,從數據包分析與數據包嗅探器的基礎知識開始,循序漸進地介紹Wireshark的基本使用方法及其數據包分析功能特性,同時還介紹了針對不同協定層與無線網路的具體實踐技術與經驗技巧。在此過程中,作者結合大量真實的案例,圖文並茂地演示使用Wireshark進行數據包分析的技術方法,使讀者能夠順著本書思路逐步掌握網路數據包嗅探與分析技能。附錄部分列舉了數據包分析工具,以及其他數據包分析的學習資源,並對數據包的表現形式展開討論,介紹如何使用數據包結構圖查看和表示數據包。
《Wireshark數據包分析實戰(第3版)》適合網路協定開發人員、網路管理與維護人員、“不懷好意的”的黑客、選修網路課程的高校學生閱讀。
圖書目錄
第 1章 數據包分析技術與網路基礎 1
1.1 數據包分析與數據包嗅探器 2
1.1.1 評估數據包嗅探器 2
1.1.2 數據包嗅探器工作過程 3
1.2 網路通信原理 4
1.2.1 協定 4
1.2.3 OSI參考模型中的數據流向 7
1.2.4 數據封裝 8
1.2.5 網路硬體 11
1.3 流量分類 16
1.3.1 廣播流量 16
1.3.2 組播流量 17
1.3.3 單播流量 17
1.4 小結 17
第 2章 監聽網路線路 18
2.1 混雜模式 19
2.2 在集線器連線網路中嗅探 20
2.3 在交換式網路中進行嗅探 22
2.3.1 連線埠鏡像 22
2.3.2 集線器輸出 24
2.3.4 ARP快取污染 28
2.4 在路由網路環境中進行嗅探 33
2.5 部署嗅探器的實踐指南 35
第3章 Wireshark入門 37
3.1 Wireshark簡史 37
3.2 Wireshark的優點 38
3.3 安裝Wireshark 39
3.3.1 在微軟Windows系統中安裝 40
3.3.2 在Linux系統中安裝 41
3.3.3 在Mac OS X系統中安裝 43
3.4 Wireshark初步入門 44
3.4.1 第 一次捕獲數據包 44
3.4.2 Wireshark主視窗 45
3.4.3 Wireshark首選項 46
3.4.4 數據包彩色高亮 48
3.4.5 配置檔案 50
3.4.6 配置方案 51
第4章 玩轉捕獲數據包 53
4.1 使用捕獲檔案 53
4.1.1 保存和導出捕獲檔案 54
4.1.2 合併捕獲檔案 55
4.2 分析數據包 56
4.2.1 保存和導出捕獲檔案 56
4.2.2 標記數據包 57
4.2.3 列印數據包 58
4.3 設定時間顯示格式和相對參考 59
4.3.1 時間顯示格式 59
4.3.2 數據包的相對時間參考 60
4.3.3 時間偏移 61
4.4 設定捕獲選項 61
4.4.1 輸入標籤頁 61
4.4.2 輸出標籤頁 62
4.4.3 選項標籤頁 64
4.5 過濾器 65
4.5.1 捕獲過濾器 65
4.5.2 顯示過濾器 71
4.5.3 保存過濾器規則 75
4.5.4 在工具列中增加顯示過濾器 76
第5章 Wireshark高級特性 77
5.1 端點和網路會話 77
5.1.1 查看端點統計 78
5.1.2 查看網路會話 79
5.1.3 使用端點和會話定位最高用量者 80
5.2 基於協定分層結構的統計 83
5.3 名稱解析 84
5.3.1 開啟名稱解析 84
5.3.2 名稱解析的潛在弊端 86
5.3.3 使用自定義hosts檔案 86
5.4 協定解析 88
5.4.1 更換解析器 88
5.4.2 查看解析器原始碼 90
5.5 流跟蹤 91
5.6 數據包長度 94
5.7 圖形展示 95
5.7.1 查看IO圖 95
5.7.2 雙向時間圖 98
5.7.3 數據流圖 99
5.8 專家信息 100
第6章 用命令行分析數據包 103
6.1 安裝TShark 104
6.2 安裝Tcpdump 105
6.3 捕獲和保存流量 106
6.4 控制輸出 108
6.5 名稱解析 111
6.6 套用過濾器 112
6.7 TShark里的時間顯示格式 114
6.8 TShark中的總結統計 114
6.9 TShark VS Tcpdump 117
第7章 網路層協定 119
7.1 地址解析協定 120
7.1.1 ARP頭 121
7.1.2 數據包1:ARP請求 122
7.1.3 數據包2:ARP回響 123
7.1.4 Gratuitous ARP 124
7.2.1 網際網路協定第4版(IPv4) 125
7.2.2 網際網路協定第6版(IPv6) 133
7.3 網際網路控制訊息協定 144
7.3.1 ICMP頭 144
7.3.2 ICMP類型和訊息 145
7.3.3 Echo請求與回響 145
7.3.4 路由跟蹤 148
7.3.5 ICMP第6版(ICMPv6) 150
第8章 傳輸層協定 151
8.1.1 TCP報頭 152
8.1.3 TCP的三次握手 155
8.1.4 TCP連結斷開 158
8.1.5 TCP重置 160
第9章 常見高層網路協定 163
9.1.1 DHCP頭結構 164
9.1.2 DHCP續租過程 165
9.1.3 DHCP租約內續租 170
9.1.4 DHCP選項和訊息類型 171
9.1.5 DHCP Version6 (DHCPv6) 171
9.2 域名系統 173
9.2.1 DNS數據包結構 174
9.2.2 一次簡單的DNS查詢過程 175
9.2.3 DNS問題類型 177
9.2.4 DNS遞歸 177
9.2.5 DNS區域傳送 181
9.3.1 使用HTTP瀏覽 184
9.3.2 使用HTTP傳送數據 186
9.4.1 收發郵件 188
9.4.2 跟蹤一封電子郵件 190
9.4.3 使用SMTP傳送附屬檔案 197
9.5 小結 199
第 10章 基礎的現實世界場景 200
10.1 丟失的網頁內容 201
10.1.1 偵聽線路 201
10.1.2 分析 202
10.1.3 學到的知識 206
10.2 無回響的氣象服務 206
10.2.1 偵聽線路 207
10.2.2 分析 208
10.2.3 學到的知識 211
10.3 無法訪問Internet 211
10.3.1 網關配置問題 212
10.3.2 意外重定向 215
10.3.3 上游問題 218
10.4 印表機故障 221
10.4.1 偵聽線路 221
10.4.2 分析 221
10.4.3 學到的知識 224
10.5 分公司之困 224
10.5.1 偵聽線路 225
10.5.2 分析 225
10.5.3 學到的知識 228
10.6 生氣的開發者 228
10.6.1 偵聽線路 228
10.6.2 分析 229
10.6.3 學到的知識 232
10.7 結語 232
第 11章 讓網路不再卡 233
11.1 TCP的錯誤恢復特性 234
11.1.1 TCP重傳 234
11.1.2 TCP重複確認和快速重傳 237
11.2 TCP流控制 242
11.2.1 調整視窗大小 243
11.2.2 用零視窗通知停止數據流 244
11.2.3 TCP滑動視窗實戰 245
11.3 從TCP錯誤控制和流量控制中學到的 249
11.4 定位高延遲的原因 250
11.4.1 正常通信 250
11.4.2 慢速通信—線路延遲 251
11.4.3 通信緩慢—客戶端延遲 252
11.4.4 通信緩慢—伺服器延遲 253
11.4.5 延遲定位框架 253
11.5 網路基線 254
11.5.1 站點基線 255
11.5.2 主機基線 256
11.5.3 應用程式基線 257
11.5.4 基線的其他注意事項 257
11.6 小結 258
第 12章 安全領域的數據包分析 259
12.1 網路偵察 260
12.1.1 SYN掃描 260
12.1.2 作業系統指紋 265
12.2 流量操縱 268
12.2.1 ARP快取污染攻擊 268
12.2.2 會話劫持 273
12.3 漏洞利用 276
12.3.1 極光行動 277
12.3.2 遠程訪問特洛伊木馬 283
12.4 漏洞利用工具包和勒索軟體 290
12.5 小結 296
第 13章 無線網路數據包分析 297
13.1 物理因素 297
13.1.1 一次嗅探一個信道 298
13.1.2 無線信號干擾 299
13.1.3 檢測和分析信號干擾 299
13.2 無線網卡模式 300
13.3 在Windows上嗅探無線網路 302
13.3.1 配置AirPcap 302
13.3.2 使用AirPcap捕獲流量 303
13.4 在Linux上嗅探無線網路 304
13.5 802.11數據包結構 306
13.6 在Packet List面板增加無線專用列 307
13.7 無線專用過濾器 308
13.7.1 篩選特定BSS ID的流量 309
13.7.2 篩選特定的無線數據包類型 309
13.7.3 篩選特定頻率 310
13.8 保存無線分析配置 311
13.9 無線網路安全 311
13.9.1 成功的WEP認證 312
13.9.2 失敗的WEP認證 313
13.9.3 成功的WPA認證 314
13.9.4 失敗的WPA認證 316
13.10 小結 318
附錄A 延伸閱讀 319
附錄B 分析數據包結構 325