Wireshark数据包分析实战详解 PDF 高清版

《Wireshark数据包分析实战详解》由浅入深，全面系统地介绍了Wireshark数据抓包和数据包分析。本书提供了大量实例，供读者实战演练Wireshark的各项功能。同时，对抓取的数据包按照协议层次，逐层讲解各个协议在数据包中的体现。这样，读者就可以掌握数据包抓取到信息获取的每个环节。

《Wireshark数据包分析实战详解》共分3篇。第1篇介绍Wireshark的各项功能，包括基础知识、Wireshark的定制、捕获过滤器和显示过滤器的使用、数据包的着色、导出和重组等；第2篇介绍基于Wireshark对TCP/IP协议族中常用协议的详细分析，如ARP、IP、UDP、TCP、HTTP、HTTPS和FTP等；第3篇介绍借助Wireshark分析操作系统启动过程中的网络通信情况。

《Wireshark数据包分析实战详解》涉及面广，内容包括工具使用、网络协议和应用。本书适合各类读者群体，如想全面学习Wireshark的初学者、网络管理员、渗透测试人员及网络安全专家等。对于网络数据分析人士，本书更是一本不可多得的案头必备参考书。

目录

• 第1篇 Wireshark应用篇
• 第1章 Wireshark的基础知识
• 1.1 Wireshark的功能
• 1.1.1 Wireshark主窗口界面
• 1.1.2 Wireshark的作用
• 1.2 安装Wireshark
• 1.2.1 获取Wireshark
• 1.2.2 安装Wireshark
• 1.3 Wireshark捕获数据
• 1.4 认识数据包
• 1.5 捕获HTTP包
• 1.6 访问Wireshark资源
• 1.7 Wireshark快速入门
• 1.8 分析网络数据
• 1.8.1 分析Web浏览数据
• 1.8.2 分析后台数据
• 1.9 打开其他工具捕获的文件
• 第2章 设置Wireshark视图
• 2.1 设置Packet List面板列
• 2.1.1 添加列
• 2.1.2 隐藏、删除、重新排序及编辑列
• 2.2 Wireshark分析器及Profile设置
• 2.2.1 Wireshark分析器
• 2.2.2 分析非标准端口号流量
• 2.2.3 设置Wireshark显示的特定数据类型
• 2.2.4 使用Profile定制Wireshark
• 2.2.5 查找关键的Wireshark Profile
• 2.3 数据包时间延迟
• 2.3.1 时间延迟
• 2.3.2 检查延迟问题
• 2.3.3 检查时间差延迟问题
• 第3章 捕获过滤器技巧
• 3.1 捕获过滤器简介
• 3.2 选择捕获位置
• 3.3 选择捕获接口
• 3.3.1 判断哪个适配器上的数据
• 3.3.2 使用多适配器捕获
• 3.4 捕获以太网数据
• 3.5 捕获无线数据
• 3.5.1 捕获无线网络数据的方式
• 3.5.2 使用AirPcap适配器
• 3.6 处理大数据
• 3.6.1 捕获过滤器
• 3.6.2 捕获文件集
• 3.7 处理随机发生的问题
• 3.8 捕获基于MAC/IP地址数据
• 3.8.1 捕获单个IP地址数据
• 3.8.2 捕获IP地址范围
• 3.8.3 捕获广播或多播地址数据
• 3.8.4 捕获MAC地址数据
• 3.9 捕获端口应用程序数据
• 3.9.1 捕获所有端口号的数据
• 3.9.2 结合基于端口的捕获过滤器
• 3.10 捕获特定ICMP数据
• 第4章 显示技巧
• 4.1 显示过滤器简介
• 4.2 使用显示过滤器
• 4.2.1 显示过滤器语法
• 4.2.2 检查语法错误
• 4.2.3 识别字段名
• 4.2.4 比较运算符
• 4.2.5 表达式过滤器
• 4.2.6 使用自动补全功能
• 4.2.7 手动添加显示列
• 4.3 编辑和使用默认显示过滤器
• 4.4 过滤显示HTTP
• 4.5 过滤显示DHCP
• 4.6 根据地址过滤显示
• 4.6.1 显示单个IP地址或主机数据
• 4.6.2 显示一个地址范围的数据
• 4.6.3 显示一个子网IP的数据
• 4.7 过滤显示单一的TCP/UDP会话
• 4.8 使用复杂表达式过滤
• 4.8.1 使用逻辑运算符
• 4.8.2 使用括号
• 4.8.3 使用关键字
• 4.8.4 使用通配符
• 4.9 发现通信延迟
• 4.9.1 时间过滤器（frame.time_delta）
• 4.9.2 基于TCP的时间过滤（tcp.time_delta）
• 4.10 设置显示过滤器按钮
• 4.10.1 创建显示过滤器表达式按钮
• 4.10.2 编辑、添加、删除显示过滤器按钮
• 4.10.3 编辑preferences文件
• 第5章 着色规则和数据包导出
• 5.1 认识着色规则
• 5.2 禁用着色规则
• 5.2.1 禁用指定类型数据包彩色高亮
• 5.2.2 禁用所有包彩色高亮
• 5.3 创建用户着色规则
• 5.3.1 创建时间差着色规则
• 5.3.2 快速查看FTP用户名密码着色规则
• 5.3.3 创建单个会话着色规则
• 5.4 导出数据包
• 5.4.1 导出显示包
• 5.4.2 导出标记包
• 5.4.3 导出包的详细信息
• 第6章 构建图表
• 6.1 数据统计表
• 6.1.1 端点统计
• 6.1.2 网络会话统计
• 6.1.3 快速过滤会话
• 6.1.4 地图化显示端点统计信息
• 6.2 协议分层统计
• 6.3 图表化显示带宽使用情况
• 6.3.1 认识IO Graph
• 6.3.2 应用显示过滤器
• 6.4 专家信息
• 6.5 构建各种网络错误图表
• 6.5.1 构建所有TCP标志位包
• 6.5.2 构建单个TCP标志位包
• 第7章 重组数据
• 7.1 重组Web会话
• 7.1.1 重组Web浏览会话
• 7.1.2 导出HTTP对象
• 7.2 重组FTP会话
• 7.2.1 重组FTP数据
• 7.2.2 提取FTP传输的文件
• 第8章 添加注释
• 8.1 捕获文件注释
• 8.2 包注释
• 8.2.1 添加包注释
• 8.2.2 查看包注释
• 8.3 导出包注释
• 8.3.1 使用Export Packet Dissections功能导出
• 8.3.2 使用复制功能导出包
• 第9章 捕获、分割和合并数据
• 9.1 将大文件分割为文件集
• 9.1.1 添加Wireshark程序目录到自己的位置
• 9.1.2 使用Capinfos获取文件大小和包数
• 9.1.3 分割文件
• 9.2 合并多个捕获文件
• 9.3 命令行捕获数据
• 9.3.1 Dumpcap和Tshark工具
• 9.3.2 使用捕获过滤器
• 9.3.3 使用显示过滤器
• 9.4 导出字段值和统计信息
• 9.4.1 导出字段值
• 9.4.2 导出数据统计
• 第2篇 网络协议分析篇
• 第10章 ARP协议抓包分析
• 10.1 ARP基础知识
• 10.1.1 什么是ARP
• 10.1.2 ARP工作流程
• 10.1.3 ARP缓存表
• 10.2 捕获ARP协议包
• 10.2.1 Wireshark位置
• 10.2.2 使用捕获过滤器
• 10.3 分析ARP协议包
• 10.3.1 ARP报文格式
• 10.3.2 ARP请求包
• 10.3.3 ARP响应包
• 第11章 互联网协议（IP）抓包分析
• 11.1 互联网协议（IP）概述
• 11.1.1 互联网协议地址（IP地址）的由来
• 11.1.2 IP地址
• 11.1.3 IP地址的构成
• 11.2 捕获IP数据包
• 11.2.1 什么是IP数据报
• 11.2.2 Wireshark位置
• 11.2.3 捕获IP数据包
• 11.2.4 捕获IP分片数据包
• 11.3 IP数据报首部格式
• 11.3.1 存活时间TTL
• 11.3.2 IP分片
• 11.4 分析IP数据包
• 11.4.1 分析IP首部
• 11.4.2 分析IP数据包中TTL的变化
• 11.4.3 IP分片数据包分析
• 第12章 UDP协议抓包分析
• 12.1 UDP协议概述
• 12.1.1 什么是UDP协议
• 12.1.2 UDP协议的特点
• 12.2 捕获UDP数据包
• 12.3 分析UDP数据包
• 12.3.1 UDP首部格式
• 12.3.2 分析UDP数据包
• 第13章 TCP协议抓包分析
• 13.1 TCP协议概述
• 13.1.1 TCP协议的由来
• 13.1.2 TCP端口
• 13.1.3 TCP三次握手
• 13.1.4 TCP四次断开
• 13.1.5 TCP重置
• 13.2 捕获TCP数据包
• 13.2.1 使用捕获过滤器
• 13.2.2 使用显示过滤器
• 13.2.3 使用着色规则
• 13.3 TCP数据包分析
• 13.3.1 TCP首部
• 13.3.2 分析TCP的三次握手
• 13.3.3 分析TCP的四次断开
• 13.3.4 分析TCP重置数据包
• 第14章 ICMP协议抓包分析
• 14.1 ICMP协议概述
• 14.1.1 什么是ICMP协议
• 14.1.2 学习ICMP的重要性
• 14.1.3 Echo请求与响应
• 14.1.4 路由跟踪
• 14.2 捕获ICMP协议包
• 14.2.1 捕获正常ICMP数据包
• 14.2.2 捕获请求超时的数据包
• 14.2.3 捕获目标主机不可达的数据包
• 14.3 分析ICMP数据包
• 14.3.1 ICMP首部
• 14.3.2 分析ICMP数据包——Echo Ping请求包
• 14.3.3 分析ICMP数据包——Echo Ping响应包
• 14.3.4 分析ICMP数据包——请求超时数据包
• 14.3.5 分析ICMP数据包——目标主机不可达的数据包
• 第15章 DHCP数据抓包分析
• 15.1 DHCP概述
• 15.1.1 什么是DHCP
• 15.1.2 DHCP的作用
• 15.1.3 DHCP工作流程
• 15.2 DHCP数据抓包
• 15.2.1 Wireshark位置
• 15.2.2 使用捕获过滤器
• 15.2.3 过滤显示DHCP
• 15.3 DHCP数据包分析
• 15.3.1 DHCP报文格式
• 15.3.2 DHCP报文类型
• 15.3.3 发现数据包
• 15.3.4 响应数据包
• 15.3.5 请求数据包
• 15.3.6 确认数据包
• 第16章 DNS抓包分析
• 16.1 DNS概述
• 16.1.1 什么是DNS
• 16.1.2 DNS的系统结构
• 16.1.3 DNS系统解析过程
• 16.1.4 DNS问题类型
• 16.2 捕获DNS数据包
• 16.3 分析DNS数据包
• 16.3.1 DNS报文格式
• 16.3.2 分析DNS数据包
• 第17章 HTTP协议抓包分析
• 17.1 HTTP协议概述
• 17.1.1 什么是HTTP
• 17.1.2 HTTP请求方法
• 17.1.3 HTTP工作流程
• 17.1.4 持久连接和非持久连接
• 17.2 捕获HTTP数据包
• 17.2.1 使用捕获过滤器
• 17.2.2 显示过滤HTTP协议包
• 17.2.3 导出数据包
• 17.3 分析HTTP数据包
• 17.3.1 HTTP报文格式
• 17.3.2 HTTP的头域
• 17.3.3 分析GET方法的HTTP数据包
• 17.3.4 分析POST方法的HTTP数据包
• 17.4 显示捕获文件的原始内容
• 17.4.1 安装Xplico
• 17.4.2 解析HTTP包
• 第18章 HTTPS协议抓包分析
• 18.1 HTTPS协议概述
• 18.1.1 什么是HTTPS协议
• 18.1.2 HTTP和HTTPS协议的区别
• 18.1.3 HTTPS工作流程
• 18.2 SSL概述
• 18.2.1 什么是SSL
• 18.2.2 SSL工作流程
• 18.2.3 SSL协议的握手过程
• 18.3 捕获HTTPS数据包
• 18.3.1 使用捕获过滤器
• 18.3.2 显示过滤数据包
• 18.4 分析HTTPS数据包
• 18.4.1 客户端发出请求（Client Hello）
• 18.4.2 服务器响应（Server Hello）
• 18.4.3 证书信息
• 18.4.4 密钥交换
• 18.4.5 应用层信息通信
• 第19章 FTP协议抓包分析
• 19.1 FTP协议概述
• 19.1.1 什么是FTP协议
• 19.1.2 FTP的工作流程
• 19.1.3 FTP常用控制命令
• 19.1.4 应答格式
• 19.2 捕获FTP协议数据包
• 19.3 分析FTP协议数据包
• 19.3.1 分析控制连接的数据
• 19.3.2 分析数据连接的数据
• 第20章 电子邮件抓包分析
• 20.1 邮件系统工作原理
• 20.1.1 什么邮件客户端
• 20.1.2 邮件系统的组成及传输过程
• 20.2 邮件相关协议概述
• 20.2.1 SMTP协议
• 20.2.2 POP协议
• 20.2.3 IMAP协议
• 20.3 捕获电子邮件数据包
• 20.3.1 Wireshark捕获位置
• 20.3.2 Foxmail邮件客户端的使用
• 20.3.3 捕获电子邮件数据包
• 20.4 分析发送邮件的数据包
• 20.4.1 分析SMTP工作流程
• 20.4.2 查看邮件内容
• 20.5 分析接收邮件的数据包
• 20.5.1 分析POP工作流程
• 20.5.2 查看邮件内容
• 第3篇 实战篇
• 第21章 操作系统启动过程抓包分析
• 21.1 操作系统概述
• 21.2 捕获操作系统启动过程产生的数据包
• 21.3 分析数据包
• 21.3.1 获取IP地址
• 21.3.2 加入组播组
• 21.3.3 发送NBNS协议包
• 21.3.4 ARP协议包的产生
• 21.3.5 访问共享资源
• 21.3.6 开机自动运行的程序