《Wireshark数据包分析实战详解》由浅入深,全面系统地介绍了Wireshark数据抓包和数据包分析。本书提供了大量实例,供读者实战演练Wireshark的各项功能。同时,对抓取的数据包按照协议层次,逐层讲解各个协议在数据包中的体现。这样,读者就可以掌握数据包抓取到信息获取的每个环节。
《Wireshark数据包分析实战详解》共分3篇。第1篇介绍Wireshark的各项功能,包括基础知识、Wireshark的定制、捕获过滤器和显示过滤器的使用、数据包的着色、导出和重组等;第2篇介绍基于Wireshark对TCP/IP协议族中常用协议的详细分析,如ARP、IP、UDP、TCP、HTTP、HTTPS和FTP等;第3篇介绍借助Wireshark分析操作系统启动过程中的网络通信情况。
《Wireshark数据包分析实战详解》涉及面广,内容包括工具使用、网络协议和应用。本书适合各类读者群体,如想全面学习Wireshark的初学者、网络管理员、渗透测试人员及网络安全专家等。对于网络数据分析人士,本书更是一本不可多得的案头必备参考书。
目录
- 第1篇 Wireshark应用篇
- 第1章 Wireshark的基础知识
- 1.1 Wireshark的功能
- 1.1.1 Wireshark主窗口界面
- 1.1.2 Wireshark的作用
- 1.2 安装Wireshark
- 1.2.1 获取Wireshark
- 1.2.2 安装Wireshark
- 1.3 Wireshark捕获数据
- 1.4 认识数据包
- 1.5 捕获HTTP包
- 1.6 访问Wireshark资源
- 1.7 Wireshark快速入门
- 1.8 分析网络数据
- 1.8.1 分析Web浏览数据
- 1.8.2 分析后台数据
- 1.9 打开其他工具捕获的文件
- 第2章 设置Wireshark视图
- 2.1 设置Packet List面板列
- 2.1.1 添加列
- 2.1.2 隐藏、删除、重新排序及编辑列
- 2.2 Wireshark分析器及Profile设置
- 2.2.1 Wireshark分析器
- 2.2.2 分析非标准端口号流量
- 2.2.3 设置Wireshark显示的特定数据类型
- 2.2.4 使用Profile定制Wireshark
- 2.2.5 查找关键的Wireshark Profile
- 2.3 数据包时间延迟
- 2.3.1 时间延迟
- 2.3.2 检查延迟问题
- 2.3.3 检查时间差延迟问题
- 第3章 捕获过滤器技巧
- 3.1 捕获过滤器简介
- 3.2 选择捕获位置
- 3.3 选择捕获接口
- 3.3.1 判断哪个适配器上的数据
- 3.3.2 使用多适配器捕获
- 3.4 捕获以太网数据
- 3.5 捕获无线数据
- 3.5.1 捕获无线网络数据的方式
- 3.5.2 使用AirPcap适配器
- 3.6 处理大数据
- 3.6.1 捕获过滤器
- 3.6.2 捕获文件集
- 3.7 处理随机发生的问题
- 3.8 捕获基于MAC/IP地址数据
- 3.8.1 捕获单个IP地址数据
- 3.8.2 捕获IP地址范围
- 3.8.3 捕获广播或多播地址数据
- 3.8.4 捕获MAC地址数据
- 3.9 捕获端口应用程序数据
- 3.9.1 捕获所有端口号的数据
- 3.9.2 结合基于端口的捕获过滤器
- 3.10 捕获特定ICMP数据
- 第4章 显示技巧
- 4.1 显示过滤器简介
- 4.2 使用显示过滤器
- 4.2.1 显示过滤器语法
- 4.2.2 检查语法错误
- 4.2.3 识别字段名
- 4.2.4 比较运算符
- 4.2.5 表达式过滤器
- 4.2.6 使用自动补全功能
- 4.2.7 手动添加显示列
- 4.3 编辑和使用默认显示过滤器
- 4.4 过滤显示HTTP
- 4.5 过滤显示DHCP
- 4.6 根据地址过滤显示
- 4.6.1 显示单个IP地址或主机数据
- 4.6.2 显示一个地址范围的数据
- 4.6.3 显示一个子网IP的数据
- 4.7 过滤显示单一的TCP/UDP会话
- 4.8 使用复杂表达式过滤
- 4.8.1 使用逻辑运算符
- 4.8.2 使用括号
- 4.8.3 使用关键字
- 4.8.4 使用通配符
- 4.9 发现通信延迟
- 4.9.1 时间过滤器(frame.time_delta)
- 4.9.2 基于TCP的时间过滤(tcp.time_delta)
- 4.10 设置显示过滤器按钮
- 4.10.1 创建显示过滤器表达式按钮
- 4.10.2 编辑、添加、删除显示过滤器按钮
- 4.10.3 编辑preferences文件
- 第5章 着色规则和数据包导出
- 5.1 认识着色规则
- 5.2 禁用着色规则
- 5.2.1 禁用指定类型数据包彩色高亮
- 5.2.2 禁用所有包彩色高亮
- 5.3 创建用户着色规则
- 5.3.1 创建时间差着色规则
- 5.3.2 快速查看FTP用户名密码着色规则
- 5.3.3 创建单个会话着色规则
- 5.4 导出数据包
- 5.4.1 导出显示包
- 5.4.2 导出标记包
- 5.4.3 导出包的详细信息
- 第6章 构建图表
- 6.1 数据统计表
- 6.1.1 端点统计
- 6.1.2 网络会话统计
- 6.1.3 快速过滤会话
- 6.1.4 地图化显示端点统计信息
- 6.2 协议分层统计
- 6.3 图表化显示带宽使用情况
- 6.3.1 认识IO Graph
- 6.3.2 应用显示过滤器
- 6.4 专家信息
- 6.5 构建各种网络错误图表
- 6.5.1 构建所有TCP标志位包
- 6.5.2 构建单个TCP标志位包
- 第7章 重组数据
- 7.1 重组Web会话
- 7.1.1 重组Web浏览会话
- 7.1.2 导出HTTP对象
- 7.2 重组FTP会话
- 7.2.1 重组FTP数据
- 7.2.2 提取FTP传输的文件
- 第8章 添加注释
- 8.1 捕获文件注释
- 8.2 包注释
- 8.2.1 添加包注释
- 8.2.2 查看包注释
- 8.3 导出包注释
- 8.3.1 使用Export Packet Dissections功能导出
- 8.3.2 使用复制功能导出包
- 第9章 捕获、分割和合并数据
- 9.1 将大文件分割为文件集
- 9.1.1 添加Wireshark程序目录到自己的位置
- 9.1.2 使用Capinfos获取文件大小和包数
- 9.1.3 分割文件
- 9.2 合并多个捕获文件
- 9.3 命令行捕获数据
- 9.3.1 Dumpcap和Tshark工具
- 9.3.2 使用捕获过滤器
- 9.3.3 使用显示过滤器
- 9.4 导出字段值和统计信息
- 9.4.1 导出字段值
- 9.4.2 导出数据统计
- 第2篇 网络协议分析篇
- 第10章 ARP协议抓包分析
- 10.1 ARP基础知识
- 10.1.1 什么是ARP
- 10.1.2 ARP工作流程
- 10.1.3 ARP缓存表
- 10.2 捕获ARP协议包
- 10.2.1 Wireshark位置
- 10.2.2 使用捕获过滤器
- 10.3 分析ARP协议包
- 10.3.1 ARP报文格式
- 10.3.2 ARP请求包
- 10.3.3 ARP响应包
- 第11章 互联网协议(IP)抓包分析
- 11.1 互联网协议(IP)概述
- 11.1.1 互联网协议地址(IP地址)的由来
- 11.1.2 IP地址
- 11.1.3 IP地址的构成
- 11.2 捕获IP数据包
- 11.2.1 什么是IP数据报
- 11.2.2 Wireshark位置
- 11.2.3 捕获IP数据包
- 11.2.4 捕获IP分片数据包
- 11.3 IP数据报首部格式
- 11.3.1 存活时间TTL
- 11.3.2 IP分片
- 11.4 分析IP数据包
- 11.4.1 分析IP首部
- 11.4.2 分析IP数据包中TTL的变化
- 11.4.3 IP分片数据包分析
- 第12章 UDP协议抓包分析
- 12.1 UDP协议概述
- 12.1.1 什么是UDP协议
- 12.1.2 UDP协议的特点
- 12.2 捕获UDP数据包
- 12.3 分析UDP数据包
- 12.3.1 UDP首部格式
- 12.3.2 分析UDP数据包
- 第13章 TCP协议抓包分析
- 13.1 TCP协议概述
- 13.1.1 TCP协议的由来
- 13.1.2 TCP端口
- 13.1.3 TCP三次握手
- 13.1.4 TCP四次断开
- 13.1.5 TCP重置
- 13.2 捕获TCP数据包
- 13.2.1 使用捕获过滤器
- 13.2.2 使用显示过滤器
- 13.2.3 使用着色规则
- 13.3 TCP数据包分析
- 13.3.1 TCP首部
- 13.3.2 分析TCP的三次握手
- 13.3.3 分析TCP的四次断开
- 13.3.4 分析TCP重置数据包
- 第14章 ICMP协议抓包分析
- 14.1 ICMP协议概述
- 14.1.1 什么是ICMP协议
- 14.1.2 学习ICMP的重要性
- 14.1.3 Echo请求与响应
- 14.1.4 路由跟踪
- 14.2 捕获ICMP协议包
- 14.2.1 捕获正常ICMP数据包
- 14.2.2 捕获请求超时的数据包
- 14.2.3 捕获目标主机不可达的数据包
- 14.3 分析ICMP数据包
- 14.3.1 ICMP首部
- 14.3.2 分析ICMP数据包——Echo Ping请求包
- 14.3.3 分析ICMP数据包——Echo Ping响应包
- 14.3.4 分析ICMP数据包——请求超时数据包
- 14.3.5 分析ICMP数据包——目标主机不可达的数据包
- 第15章 DHCP数据抓包分析
- 15.1 DHCP概述
- 15.1.1 什么是DHCP
- 15.1.2 DHCP的作用
- 15.1.3 DHCP工作流程
- 15.2 DHCP数据抓包
- 15.2.1 Wireshark位置
- 15.2.2 使用捕获过滤器
- 15.2.3 过滤显示DHCP
- 15.3 DHCP数据包分析
- 15.3.1 DHCP报文格式
- 15.3.2 DHCP报文类型
- 15.3.3 发现数据包
- 15.3.4 响应数据包
- 15.3.5 请求数据包
- 15.3.6 确认数据包
- 第16章 DNS抓包分析
- 16.1 DNS概述
- 16.1.1 什么是DNS
- 16.1.2 DNS的系统结构
- 16.1.3 DNS系统解析过程
- 16.1.4 DNS问题类型
- 16.2 捕获DNS数据包
- 16.3 分析DNS数据包
- 16.3.1 DNS报文格式
- 16.3.2 分析DNS数据包
- 第17章 HTTP协议抓包分析
- 17.1 HTTP协议概述
- 17.1.1 什么是HTTP
- 17.1.2 HTTP请求方法
- 17.1.3 HTTP工作流程
- 17.1.4 持久连接和非持久连接
- 17.2 捕获HTTP数据包
- 17.2.1 使用捕获过滤器
- 17.2.2 显示过滤HTTP协议包
- 17.2.3 导出数据包
- 17.3 分析HTTP数据包
- 17.3.1 HTTP报文格式
- 17.3.2 HTTP的头域
- 17.3.3 分析GET方法的HTTP数据包
- 17.3.4 分析POST方法的HTTP数据包
- 17.4 显示捕获文件的原始内容
- 17.4.1 安装Xplico
- 17.4.2 解析HTTP包
- 第18章 HTTPS协议抓包分析
- 18.1 HTTPS协议概述
- 18.1.1 什么是HTTPS协议
- 18.1.2 HTTP和HTTPS协议的区别
- 18.1.3 HTTPS工作流程
- 18.2 SSL概述
- 18.2.1 什么是SSL
- 18.2.2 SSL工作流程
- 18.2.3 SSL协议的握手过程
- 18.3 捕获HTTPS数据包
- 18.3.1 使用捕获过滤器
- 18.3.2 显示过滤数据包
- 18.4 分析HTTPS数据包
- 18.4.1 客户端发出请求(Client Hello)
- 18.4.2 服务器响应(Server Hello)
- 18.4.3 证书信息
- 18.4.4 密钥交换
- 18.4.5 应用层信息通信
- 第19章 FTP协议抓包分析
- 19.1 FTP协议概述
- 19.1.1 什么是FTP协议
- 19.1.2 FTP的工作流程
- 19.1.3 FTP常用控制命令
- 19.1.4 应答格式
- 19.2 捕获FTP协议数据包
- 19.3 分析FTP协议数据包
- 19.3.1 分析控制连接的数据
- 19.3.2 分析数据连接的数据
- 第20章 电子邮件抓包分析
- 20.1 邮件系统工作原理
- 20.1.1 什么邮件客户端
- 20.1.2 邮件系统的组成及传输过程
- 20.2 邮件相关协议概述
- 20.2.1 SMTP协议
- 20.2.2 POP协议
- 20.2.3 IMAP协议
- 20.3 捕获电子邮件数据包
- 20.3.1 Wireshark捕获位置
- 20.3.2 Foxmail邮件客户端的使用
- 20.3.3 捕获电子邮件数据包
- 20.4 分析发送邮件的数据包
- 20.4.1 分析SMTP工作流程
- 20.4.2 查看邮件内容
- 20.5 分析接收邮件的数据包
- 20.5.1 分析POP工作流程
- 20.5.2 查看邮件内容
- 第3篇 实战篇
- 第21章 操作系统启动过程抓包分析
- 21.1 操作系统概述
- 21.2 捕获操作系统启动过程产生的数据包
- 21.3 分析数据包
- 21.3.1 获取IP地址
- 21.3.2 加入组播组
- 21.3.3 发送NBNS协议包
- 21.3.4 ARP协议包的产生
- 21.3.5 访问共享资源
- 21.3.6 开机自动运行的程序