本書由淺入深,系統地介紹了Wireshark數據抓包和數據包分析。本書提供了大量實例,供讀者實戰演練Wireshark的各項功能。同時,對抓取的數據包按照協議層次,逐層講解各個協議在數據包中的體現。這樣,讀者就可以掌握數據包抓取到信息獲取的每個環節。
本書共分3篇。第1篇介紹Wireshark的各項功能,包括基礎知識、Wireshark的定制、捕獲過濾器和顯示過濾器的使用、數據包的著色、導出和重組等;第2篇介紹基于Wireshark對TCP/IP協議族中常用協議的詳細分析,如ARP、IP、UDP、TCP、HTTP、HTTPS和FTP等;第3篇介紹借助Wireshark分析操作系統啟動過程中的網絡通信情況。
本書涉及面廣,內容包括工具使用、網絡協議和應用。本書適合各類讀者群體,如想學習Wireshark的初學者、網絡管理員、滲透測試人員及網絡安全專家等。對于網絡數據分析人士,本書更是一本不可多得的案頭必備參考書。
適讀人群 :想學習Wireshark的初學者、網絡管理員、滲透測試人員、網絡安全專家、網絡數據分析人士
通過80個實例,詳細講解了Wireshark數據包分析實施的8大類技巧
基于Wireshark抓取的數據包,層層剝繭地剖析了12種常見網絡協議的構成
涵蓋Wireshark基礎知識和應用技巧,以及使用Wireshark對網絡協議進行分析
遵循規范,從專業的角度循序漸進地講解了Wireshark抓包及分析的實施流程
針對海量數據問題,詳細講解了捕獲過濾器、顯示過濾器和著色規則等專業技巧
以圖表結合的形式直觀地展示了協議報結構,幫助讀者快速掌握各種抽象的網絡協議
對抓取的數據包按照協議層次,逐層講解了各個協議在數據包中的體現
推薦閱讀(請點擊鏈接): 《Kali Linux滲透測試技術詳解》
Kali Linux無線網絡滲透測試詳解》
Linux從入門到精通(第2版)》
Shell從入門到精通》
Linux Shell命令行及腳本編程實例詳解》
Linux服務范例速查大全》
程序員的數學思維修煉(趣味解讀)》
我和數學有約——趣味數學及算法解析》
王曉卉,本科畢業于渤海大學計算機科學與技術專業,碩士畢業于沈陽航空航天大學計算機技術專業。現任營口職業技術學院計算機專業副教授。從事計算機教學與科研工作11年,專長于計算機網絡和軟件應用。曾發表過省級以上的論文10余篇,主持和參與了多個省級項目的科研工作。
李亞偉,大學霸技術研究員。熟悉Apache、Tomcat、Oracle、MySQL、集群、RAC、SAN和容災等各種IT業界中流行的系統集成技術。長期從事Linux和網絡安全技術的研究,以及Linux服務器維護工作,擁有多年的服務器維護經驗。曾經參與過多本Linux圖書的編寫和技術測試。
第1篇 Wireshark應用篇
第1章 Wireshark的基礎知識
1.1 Wireshark的功能
1.1.1 Wireshark主窗口界面
1.1.2 Wireshark的作用
1.2 安裝Wireshark
1.2.1 獲取Wireshark
1.2.2 安裝Wireshark
1.3 Wireshark捕獲數據
1.4 認識數據包
1.5 捕獲HTTP包
1.6 訪問Wireshark資源
1.7 Wireshark快速入門
1.8 分析網絡數據
1.8.1 分析Web瀏覽數據
1.8.2 分析后臺數據
1.9 打開其他工具捕獲的文件
第2章 設置Wireshark視圖
2.1 設置Packet List面板列
2.1.1 添加列
2.1.2 隱藏、刪除、重新排序及編輯列
2.2 Wireshark分析器及Profile設置
2.2.1 Wireshark分析器
2.2.2 分析非標準端口號流量
2.2.3 設置Wireshark顯示的特定數據類型
2.2.4 使用Profile定制Wireshark
2.2.5 查找關鍵的Wireshark Profile
2.3 數據包時間延遲
2.3.1 時間延遲
2.3.2 檢查延遲問題
2.3.3 檢查時間差延遲問題
第3章 捕獲過濾器技巧
3.1 捕獲過濾器簡介
3.2 選擇捕獲位置
3.3 選擇捕獲接口
3.3.1 判斷哪個適配器上的數據
3.3.2 使用多適配器捕獲
3.4 捕獲以太網數據
3.5 捕獲無線數據
3.5.1 捕獲無線網絡數據的方式
3.5.2 使用AirPcap適配器
3.6 處理大數據
3.6.1 捕獲過濾器
3.6.2 捕獲文件集
3.7 處理隨機發生的問題
3.8 捕獲基于MAC/IP地址數據
3.8.1 捕獲單個IP地址數據
3.8.2 捕獲IP地址范圍
3.8.3 捕獲廣播或多播地址數據
3.8.4 捕獲MAC地址數據
3.9 捕獲端口應用程序數據
3.9.1 捕獲所有端口號的數據
3.9.2 結合基于端口的捕獲過濾器
3.10 捕獲特定ICMP數據
第4章 顯示技巧
4.1 顯示過濾器簡介
4.2 使用顯示過濾器
4.2.1 顯示過濾器語法
4.2.2 檢查語法錯誤
4.2.3 識別字段名
4.2.4 比較運算符
4.2.5 表達式過濾器
4.2.6 使用自動補全功能
4.2.7 手動添加顯示列
4.3 編輯和使用默認顯示過濾器
4.4 過濾顯示HTTP
4.5 過濾顯示DHCP
4.6 根據地址過濾顯示
4.6.1 顯示單個IP地址或主機數據
4.6.2 顯示一個地址范圍的數據
4.6.3 顯示一個子網IP的數據
4.7 過濾顯示單一的TCP/UDP會話
4.8 使用復雜表達式過濾
4.8.1 使用邏輯運算符
4.8.2 使用括號
4.8.3 使用關鍵字
4.8.4 使用通配符
4.9 發現通信延遲
4.9.1 時間過濾器(frame.time_delta)
4.9.2 基于TCP的時間過濾(tcp.time_delta)
4.10 設置顯示過濾器按鈕
4.10.1 創建顯示過濾器表達式按鈕
4.10.2 編輯、添加、刪除顯示過濾器按鈕
4.10.3 編輯preferences文件
第5章 著色規則和數據包導出
5.1 認識著色規則
5.2 禁用著色規則
5.2.1 禁用指定類型數據包彩色高亮
5.2.2 禁用所有包彩色高亮
5.3 創建用戶著色規則
5.3.1 創建時間差著色規則
5.3.2 快速查看FTP用戶名密碼著色規則
5.3.3 創建單個會話著色規則
5.4 導出數據包
5.4.1 導出顯示包
5.4.2 導出標記包
5.4.3 導出包的詳細信息
第6章 構建圖表
6.1 數據統計表
6.1.1 端點統計
6.1.2 網絡會話統計
6.1.3 快速過濾會話
6.1.4 地圖化顯示端點統計信息
6.2 協議分層統計
6.3 圖表化顯示帶寬使用情況
6.3.1 認識IO Graph
6.3.2 應用顯示過濾器
6.4 專家信息
6.5 構建各種網絡錯誤圖表
6.5.1 構建所有TCP標志位包
6.5.2 構建單個TCP標志位包
第7章 重組數據
7.1 重組Web會話
7.1.1 重組Web瀏覽會話
7.1.2 導出HTTP對象
7.2 重組FTP會話
7.2.1 重組FTP數據
7.2.2 提取FTP傳輸的文件
第8章 添加注釋
8.1 捕獲文件注釋
8.2 包注釋
8.2.1 添加包注釋
8.2.2 查看包注釋
8.3 導出包注釋
8.3.1 使用Export Packet Dissections功能導出
8.3.2 使用復制功能導出包
第9章 捕獲、分割和合并數據
9.1 將大文件分割為文件集
9.1.1 添加Wireshark程序目錄到自己的位置
9.1.2 使用Capinfos獲取文件大小和包數
9.1.3 分割文件
9.2 合并多個捕獲文件
9.3 命令行捕獲數據
9.3.1 Dumpcap和Tshark工具
9.3.2 使用捕獲過濾器
9.3.3 使用顯示過濾器
9.4 導出字段值和統計信息
9.4.1 導出字段值
9.4.2 導出數據統計
第2篇 網絡協議分析篇
第10章 ARP協議抓包分析
10.1 ARP基礎知識
10.1.1 什么是ARP
10.1.2 ARP工作流程
10.1.3 ARP緩存表
10.2 捕獲ARP協議包
10.2.1 Wireshark位置
10.2.2 使用捕獲過濾器
10.3 分析ARP協議包
10.3.1 ARP報文格式
10.3.2 ARP請求包
10.3.3 ARP響應包
第11章 互聯網協議(IP)抓包分析
11.1 互聯網協議(IP)概述
11.1.1 互聯網協議地址(IP地址)的由來
11.1.2 IP地
11.1.3 IP地址的構成
11.2 捕獲IP數據包
11.2.1 什么是IP數據報
11.2.2 Wireshark位置
11.2.3 捕獲IP數據包
11.2.4 捕獲IP分片數據包
11.3 IP數據報首部格式
11.3.1 存活時間TTL
11.3.2 IP分片
11.4 分析IP數據包
11.4.1 分析IP首部
11.4.2 分析IP數據包中TTL的變化
11.4.3 IP分片數據包分析
第12章 UDP協議抓包分析
12.1 UDP協議概述
12.1.1 什么是UDP協議
12.1.2 UDP協議的特點
12.2 捕獲UDP數據包
12.3 分析UDP數據包
12.3.1 UDP首部格式
12.3.2 分析UDP數據包
第13章 TCP協議抓包分析
13.1 TCP協議概述
13.1.1 TCP協議的由來
13.1.2 TCP端口
13.1.3 TCP三次握手
13.1.4 TCP四次斷
13.1.5 TCP重置
13.2 捕獲TCP數據包
13.2.1 使用捕獲過濾器
13.2.2 使用顯示過濾器
13.2.3 使用著色規則
13.3 TCP數據包分析
13.3.1 TCP首部
13.3.2 分析TCP的三次握手
13.3.3 分析TCP的四次斷
13.3.4 分析TCP重置數據包
第14章 ICMP協議抓包分析
14.1 ICMP協議概述
14.1.1 什么是ICMP協議
14.1.2 學習ICMP的重要性
14.1.3 Echo請求與響應
14.1.4 路由跟蹤
14.2 捕獲ICMP協議包
14.2.1 捕獲正常ICMP數據包
14.2.2 捕獲請求超時的數據包
14.2.3 捕獲目標主機不可達的數據包
14.3 分析ICMP數據包
14.3.1 ICMP首部
14.3.2 分析ICMP數據包——Echo Ping請求包
14.3.3 分析ICMP數據包——Echo Ping響應包
14.3.4 分析ICMP數據包——請求超時數據包
14.3.5 分析ICMP數據包——目標主機不可達的數據包
第15章 DHCP數據抓包分析
15.1 DHCP概述
15.1.1 什么是DHCP
15.1.2 DHCP的作用
15.1.3 DHCP工作流程
15.2 DHCP數據抓包
15.2.1 Wireshark位置
15.2.2 使用捕獲過濾器
15.2.3 過濾顯示DHCP
15.3 DHCP數據包分析
15.3.1 DHCP報文格式
15.3.2 DHCP報文類型
15.3.3 發現數據包
15.3.4 響應數據包
15.3.5 請求數據包
15.3.6 確認數據包
第16章 DNS抓包分析
16.1 DNS概述
16.1.1 什么是DNS
16.1.2 DNS的系統結構
16.1.3 DNS系統解析過程
16.1.4 DNS問題類型
16.2 捕獲DNS數據包
16.3 分析DNS數據包
16.3.1 DNS報文格式
16.3.2 分析DNS數據包
第17章 HTTP協議抓包分析
17.1 HTTP協議概述
17.1.1 什么是HTTP
17.1.2 HTTP請求方法
17.1.3 HTTP工作流程
17.1.4 持久連接和非持久連接
17.2 捕獲HTTP數據包
17.2.1 使用捕獲過濾器
17.2.2 顯示過濾HTTP協議包
17.2.3 導出數據包
17.3 分析HTTP數據包
17.3.1 HTTP報文格式
17.3.2 HTTP的頭域
17.3.3 分析GET方法的HTTP數據包
17.3.4 分析POST方法的HTTP數據包
17.4 顯示捕獲文件的原始內容
17.4.1 安裝Xplico
17.4.2 解析HTTP包
第18章 HTTPS協議抓包分析
18.1 HTTPS協議概述
18.1.1 什么是HTTPS協議
18.1.2 HTTP和HTTPS協議的區別
18.1.3 HTTPS工作流程
18.2 SSL概述
18.2.1 什么是SSL
18.2.2 SSL工作流程
18.2.3 SSL協議的握手過程
18.3 捕獲HTTPS數據包
18.3.1 使用捕獲過濾器
18.3.2 顯示過濾數據包
18.4 分析HTTPS數據包
18.4.1 客戶端發出請求(Client Hello)
18.4.2 服務器響應(Server Hello)
18.4.3 證書信息
18.4.4 密鑰交換
18.4.5 應用層信息通信
第19章 FTP協議抓包分析
19.1 FTP協議概述
19.1.1 什么是FTP協議
19.1.2 FTP的工作流程
19.1.3 FTP常用控制命令
19.1.4 應答格式
19.2 捕獲FTP協議數據包
19.3 分析FTP協議數據包
19.3.1 分析控制連接的數據
19.3.2 分析數據連接的數據
第20章 電子郵件抓包分析
20.1 郵件系統工作原理
20.1.1 什么郵件客戶端
20.1.2 郵件系統的組成及傳輸過程
20.2 郵件相關協議概述
20.2.1 SMTP協議
20.2.2 POP協議
20.2.3 IMAP協議
20.3 捕獲電子郵件數據包
20.3.1 Wireshark捕獲位置
20.3.2 Foxmail郵件客戶端的使用
20.3.3 捕獲電子郵件數據包
20.4 分析發送郵件的數據包
20.4.1 分析SMTP工作流程
20.4.2 查看郵件內容
20.5 分析接收郵件的數據包
20.5.1 分析POP工作流程
20.5.2 查看郵件內容
第3篇 實戰篇
第21章 操作系統啟動過程抓包分析
21.1 操作系統概述
21.2 捕獲操作系統啟動過程產生的數據包
21.3 分析數據包
21.3.1 獲取IP地
21.3.2 加入組播組
21.3.3 發送NBNS協議包
21.3.4 ARP協議包的產生
21.3.5 訪問共享資源
21.3.6 開機自動運行的程序
第1章 Wireshark的基礎知識
Wireshark(前稱Ethereal)是一個網絡包分析工具。該工具主要是用來捕獲網絡包,并顯示包的詳細情況。本章將介紹Wireshark的基礎知識。
1.1 Wireshark的功能
在學習Wireshark之前,首先介紹一下它的功能。了解它的功能,可以幫助用戶明確借助該工具能完成哪些工作。本節將介紹Wireshark的基本功能。
1.1.1 Wireshark主窗口界面
在學習使用Wireshark之前,首先需要了解該工具主窗口界面中每部分的作用。Wireshark主窗口界面如圖1.1所示。
圖1.1 Wireshark主窗口界面
在圖1.1中,以編號的形式已將Wireshark主窗口每部分標出。下面分別介紹每部分的含義,如下所示。
① 標題欄——用于顯示文件名稱、捕獲的設備名稱和Wireshark版本號。
② 菜單欄——Wireshark的標準菜單欄。
③ 工具欄——常用功能快捷圖標按鈕。
④ 顯示過濾區域——減少查看數據的復雜度。
⑤ Packet List面板——顯示每個數據幀的摘要。
⑥ Packet Details面板——分析封包的詳細信息。
⑦ Packet Bytes面板——以十六進制和ASCII格式顯示數據包的細節。
⑧ 狀態欄——專家信息、注釋、包數和Profile。
1.1.2 Wireshark的作用
Wireshark是一個廣受歡迎的網絡數據包分析軟件。網絡數據包分析軟件的功能是截取網絡數據包,并盡可能顯示出最為詳細的網絡數據包數據。它是一個最知名的開源應用程序安全工具。Wireshark可以運行在Windows、MAC OS X、Linux和UNIX操作系統上,它甚至可以作為一個Portable App運行。本小節將介紹Wireshark的常用功能。使用Wireshark可以快速分析一些任務,如下所示。
1. 一般分析任務
找出在一個網絡內發送數據包最多的主機。
查看網絡通信。
查看某個主機使用了哪些程序。
基本正常的網絡通信。
驗證特有的網絡操作。
了解嘗試連接無線網絡的用戶。
同時捕獲多個網絡的數據。
實施無人值守數據捕獲。
捕獲并分析到/來自一個特定主機或子網的數據。
通過FTP或HTTP查看和重新配置文件傳輸。
從其他捕獲工具導入跟蹤文件。
使用最少的資源捕獲數據。
2. 故障任務
為故障創建一個自定義的分析環境。
確定路徑、客戶端和服務延遲。
確定TCP問題。
檢查HTTP問題。
檢查應用程序錯誤響應。
通過查看圖形顯示的結果,找出相關的網絡問題。
確定重載的緩沖區。
比較緩慢的通信到正常通信的一個基準。
找出重復的IP地址。
確定DHCP服務或網絡問題。
確定WLAN信號強度問題。
檢測WLAN連接的次數。
檢查各種網絡配置錯誤。
確定應用程序正在加載一個網絡片段。
3. 安全分析(網絡取證)任務
為網絡取證創建一個自定義分析環境。
檢查使用非標準端口的應用程序。
確定到/來自可疑主機的數據。
查看哪臺主機正在嘗試獲取一個IP地址。
確定phone home數據。
確定網絡偵查過程。
全球定位和映射遠程目標地址。
檢查可疑數據重定向。
檢查單個TCP或UDP客戶端和服務器之間的會話。
檢查到惡意畸形的幀。
在網絡數據中找出攻擊簽名的關鍵因素。
4. 應用程序分析任務
了解應用程序和協議如何工作。
了解圖形應用程序的帶寬使用情況。
確定是否將支持應用程序的鏈接。
更新/升級后檢查應用程序性能。
從一個新安裝的應用程序中檢查錯誤響應。
確定哪個用戶正在運行一個特定的應用程序。
檢查應用程序如何使用傳輸協議,如TCP或UDP。
……
可以
這本書很多錯誤的地方,沒有很多參考價值
一起買來做工具書,方便查看~
東西不錯,包裝很干凈,快遞比較慢
當當的書很不錯,還有活動,服務也好,在當當買了很多書了,值得推薦。
很好的呢,速度快,質量好啊
好書推薦不錯
準備開看。。。
講得很詳細,對于我這種初學者來說挺不錯的
希望真的能抓包分析。
做為wireshark使用教程不錯,有一些常見協議包頭參數簡易說明,和一些實包參數略講,怎么說呢對入門初學者不錯,篇幅所限還有大量包圖片,如果要研究更深層協議東西肯定是不行的,適合菜雞。
內容很好,很基礎,值得好好的閱讀!!!
孩子很喜歡,故事吸引人,物流比較快,大贊一個!
這次的書真心的不好!希望能改進!不然都會去某京去了
好書,值得買,非常推薦
非常的不錯
整體感覺不錯整體感覺不錯整體感覺不錯
對當當的物流真是無語O__O"…發貨不好好發,退換貨還耽誤大家的時間,誰愿意來回折騰呀。
Wireshark分析和講解的比較透徹,非常有幫助!
內容講的很淺,對網絡基礎薄弱的人用處不是很大
書中配圖太小,而且模糊,簡單的翻了下,應該可以吧
書質感不錯,內容也不錯,建議和tcp/ip協議的書一起看會更好!
講得挺詳細的~各種網絡協議,通過實戰可以加深理解~
先看了第一章,很不錯的一本書,講的挺詳細的,入門看挺適合的。
不好意思,評價晚了,很喜歡,講解詳細,紙張質量很好,已經看了一多半
書很滿意,也是等了好久趕活動買的,內容很充實,就是拿回來發現挺難的,暫時理解不了
非常不錯一本書,講解的很到位。光盤實用。網絡很有幫助,課件自己下載,無盤
這本書寫的很不錯,寫的很全,查閱起來很方便,里面有很多案例,可惜沒有PCAP原始數據包下載,沒法對著書本的截圖做實驗,如果有電子光盤的視頻或者原始數據包就更好了。
