Wireshark網路分析從入門到實踐

Wireshark是一款開源網路協定分析器，能夠在多種平台（例如Windows、Linux和Mac）上抓取和分析網路包。本書將通過圖文並茂的形式來幫助讀者了解並掌握Wireshark的使用技巧。

本書由網路安全領域資深的高校教師編寫完成，集合了豐富的案例，並配合了簡潔易懂的講解方式。全書共分17章，從Wireshark的下載和安裝開始講解，陸續介紹了數據包的過濾機制、捕獲檔案的打開與保存、虛擬網路環境的構建、常見網路設備、Wireshark的部署方式、網路延遲的原因、網路故障的原因，並介紹了多種常見的攻擊方式及應對策略，除此之外，本書還講解了如何擴展Wireshark的功能以及Wireshark中的輔助工具。

本書實用性較強，適合網路安全滲透測試人員、運維工程師、網路管理員、計算機相關專業的學生以及各類安全從業者參考閱讀。

1．1　Wireshark是什麼　2

1．1．1　Wireshark的功能　2

1．1．2　Wireshark的歷史　3

1．1．3　Wireshark的工作原理　3

1．1．4　Wireshark的優勢　4

1．2　如何下載和安裝Wireshark　6

1．2．1　安裝前的準備　6

1．2．2　下載Wireshark　6

1．2．3　Wireshark的安裝　7

1．3　一次完整的Wireshark使用過程　8

1．3．1　選擇合適的網卡　9

1．3．2　開始數據包的捕獲　10

1．3．3　過濾無用的數據　14

1．3．4　將捕獲到的數據包保存到檔案　18

1．4　小結　19

2．1　伯克利包過濾　21

2．2　捕獲過濾器　23

2．3　顯示過濾器　25

2．3．1　使用過濾器輸入框創建顯示過濾器　25

2．3．2　使用過濾器表達式創建顯示過濾器　26

2．3．3　在數據包細節面板中創建顯示過濾器　28

2．4　小結　29

3．1　捕獲接口的輸出功能　30

3．2　環狀緩衝區　33

3．3　捕獲接口的其他功能　33

3．3．1　顯示選項　33

3．3．2　解析名稱　34

3．3．3　自動停止捕獲　35

3．4　保存捕獲到的數據　35

3．5　保存顯示過濾器　37

3．6　保存配置檔案　39

3．7　小結　42

4．1　虛擬網路設備的構建工具eNSP　43

4．1．1　eNSP的下載與安裝　44

4．1．2　使用eNSP創建一個實驗環境　48

4．2　虛擬PC的工具VMware　51

4．3　在虛擬環境中引入Kali Linux 2　52

4．4　在虛擬環境中安裝其他作業系統　57

4．5　eNSP與VMware的連線　58

4．5．1　VMware中的網路連線　58

4．5．2　通過eNSP中的雲與VMware相連　60

4．6　小結　65

5．1　網線　66

5．2　集線器　69

5．3　交換機　71

5．4　路由器的工作原理　77

5．5　小結　78

6．1　完成遠程數據包捕獲　79

6．2　集線器環境　84

6．3　交換環境　84

6．3．1　連線埠鏡像　85

6．3．2　ARP欺騙　88

6．3．3　網路分路器　90

6．4　完成本地流量的捕獲　91

6．5　完成虛擬機流量的捕獲　92

6．6　小結　94

7．1　建立一個可訪問遠程HTTP伺服器的仿真網路　95

7．2　觀察遠程訪問HTTP的過程　100

7．3　時間顯示設定　103

7．4　各位置延遲時間的計算　107

7．4．1　網路傳輸延遲的計算　108

7．4．2　客戶端延遲的計算　109

7．4．3　服務端延遲的計算　109

7．5　小結　110

8．1　建立一個用於測試的仿真網路　111

8．2　可能導致不能上網的原因　113

8．3　檢查計算機的網路設定　113

8．3．1　確保網卡正常啟動　113

8．3．2　檢查IP配置的正確性　114

8．3．3　檢查與網關的連線是否正常　120

8．3．4　獲取域名伺服器的IP位址　121

8．4　檢查網路路徑的連通性　122

8．5　其他情形　124

8．6　小結　125

9．1　針對交換機的常見攻擊方式　127

9．1．1　MAC地址欺騙攻擊　127

9．1．2　MAC地址泛洪攻擊　128

9．1．3　STP操縱攻擊　128

9．1．4　廣播風暴攻擊　129

9．2　使用Wireshark分析針對交換機的攻擊　129

9．2．1　統計功能　130

9．2．2　MAC地址泛洪攻擊　134

9．2．3　找到攻擊的源頭　135

9．3　使用macof發起MAC地址泛洪攻擊　137

9．4　如何防禦MAC地址泛洪攻擊　138

9．5　小結　139

10．1　中間人攻擊的相關理論　140

10．1．1　ARP協定的相關理論　141

10．1．2　ARP欺騙的原理　146

10．2　使用專家系統分析中間人攻擊　146

10．3　如何發起中間人攻擊　150

10．3．1　使用arpspoof來發起攻擊　150

10．3．2　使用Wireshark來發起攻擊　153

10．4　如何防禦中間人攻擊　154

10．4．1　靜態綁定ARP表項　154

10．4．2　使用DHCP Snooping功能　154

10．4．3　劃分VLAN　155

10．5　小結　155

11．1　淚滴攻擊的相關理論　156

11．1．1　IP協定的格式　157

11．1．2　IP分片　158

11．1．3　淚滴攻擊　161

11．2　Wireshark的著色規則　162

11．3　根據TTL值判斷攻擊的來源　166

11．4　小結　168

12．1　拒絕服務攻擊的相關理論　170

12．1．1　TCP連線的建立方式　170

12．1．2　SYN flooding攻擊　173

12．2　模擬SYN flooding攻擊　173

12．2．1　構造一個仿真環境　173

12．2．2　使用Hping3發起SYN flooding攻擊　174

12．3　使用Wireshark的流向圖功能來分析SYN flooding攻擊　175

12．4　如何解決SYN Flooding拒絕服務攻擊　177

12．5　在Wireshark中顯示地理位置　178

12．6　小結　184

13．1　TCP的數據傳輸　185

13．2　Wireshark中的TCP流功能　187

13．3　網路取證實踐　192

13．4　小結　198

14．1　UDP Flooding的相關理論　199

14．1．1　UDP協定　199

14．1．2　UDP Flooding攻擊　200

14．2　模擬UDP Flooding攻擊　201

14．3　使用Wireshark的繪圖功能來分析UDP Flooding攻擊　201

14．4　如何防禦UDP Flooding攻擊　207

14．5　amCharts的圖表功能　209

14．6　小結　214

15．1　緩衝區溢出攻擊的相關理論　215

15．1．1　Wireshark觀察下的HTTP協定　216

15．1．2　HTTP的請求與應答　216

15．1．3　HTTP的常用方法　217

15．1．4　HTTP中常用的過濾器　217

15．2　模擬緩衝區溢出攻擊　218

15．3　使用Wireshark 分析緩衝區溢出攻擊　222

15．4　使用Wireshark檢測遠程控制　227

15．5　Wireshark對HTTPS協定的解析　230

15．6　小結　232

16．1　Wireshark編程開發的基礎　233

16．1．1　Wireshark中對Lua的支持　234

16．1．2　Wireshark中Lua的初始化　235

16．2　使用Lua開發簡單擴展功能　235

16．3　用Wireshark開發新的協定解析器　236

16．3．1　新協定的註冊　236

16．3．2　解析器的編寫　239

16．4　測試新協定　241

16．5　編寫惡意攻擊數據包檢測模組　245

16．6　小結　248

17．1　Wireshark命令行工具　249

17．2　Tshark．exe的使用方法　250

17．3　Dumpcap的用法　252

17．4　Editcap的使用方法　253

17．5　Mergecap的使用方法　254

17．6　capinfos的使用方法　255

17．7　USBPcapCMD的使用方法　256

17．8　小結　258

李華峰，信息安全顧問和自由撰稿人，多年來一直從事網路安全滲透測試方面的研究工作。在網路安全部署、網路攻擊與防禦以及社會工程學等方面有十分豐富的實踐經驗。

陳虹，出身於美術專業的程式開發者。雖然在畫室長大，卻是實實在在的編程愛好者。目前正在從事軟體設計工作。