Wireshark是应用最为广泛的网络数据抓取和分析工具。通过该工具,网络维护人员可以发现网络数据传输的故障;网络安全人员可以发现攻击行为和数据泄露问题;开发人员可以验证应用程序数据传输的正确性。本书共分为13个章节。内容包括网络数据分析概述、捕获数据包、数据处理、数据呈现、显示过滤器、分析手段、无线网络抓包和分析、网络基础协议数据包分析、TCP协议数据分析、UDP协议数据分析、HTTP协议数据包分析、其他应用协议数据包分析。
本书适合网络维护人员、渗透测试人员、网络程序开发人员和信息安全爱好者。通过本书,可以帮助读者了解和掌握Wireshark数据抓包方式,熟悉常见的协议,并掌握分析的各种技术,从而提高工作效率。
封面图
目录
- 前言
- 第1章 网络数据分析概述1
- 1.1 网络数据传输1
- 1.1.1 网络构成1
- 1.1.2 数据传输2
- 1.1.3 网络类型3
- 1.2 网络协议6
- 1.2.1 OSI模型6
- 1.2.2 TCP/IP协议族7
- 1.3 Wireshark概述9
- 1.3.1 Wireshark的历史9
- 1.3.2 获取Wireshark软件10
- 1.3.3 Windows系统安装Wireshark11
- 1.3.4 Mac OS系统安装Wireshark16
- 1.3.5 Linux系统安装Wireshark21
- 第2章 捕获数据包22
- 2.1 指定网络接口22
- 2.1.1 接口种类22
- 2.1.2 选择接口24
- 2.1.3 捕获USB设备包29
- 2.2 使用管道接口32
- 2.2.1 添加管道接口32
- 2.2.2 捕获管道接口数据34
- 2.3 远程捕获数据包35
- 2.3.1 管理远程接口36
- 2.3.2 Windows下配置rpcapd服务36
- 2.3.3 Linux下配置rpcapd服务41
- 2.3.4 添加远程接口42
- 2.3.5 实施远程捕获数据包44
- 2.4 使用捕获过滤器46
- 2.4.1 指定捕获过滤器46
- 2.4.2 基于类型过滤49
- 2.4.3 基于传输方向过滤51
- 2.4.4 基于协议过滤54
- 2.4.5 基于数据过滤56
- 2.4.6 使用多个捕获过滤器57
- 2.4.7 使用预置表达式57
- 第3章 数据处理60
- 3.1 保存文件60
- 3.1.1 自动保存文件60
- 3.1.2 手动保存文件68
- 3.2 打开文件72
- 3.2.1 打开抓包文件73
- 3.2.2 文件属性76
- 3.2.3 合并抓包文件79
- 3.2.4 导入转储文件82
- 3.3 快速分析86
- 3.3.1 关联地址86
- 3.3.2 协议构成88
- 3.3.3 数据包长度89
- 3.3.4 数据流量90
- 3.3.5 发包统计95
- 第4章 数据呈现98
- 4.1 分组列表98
- 4.1.1 默认列98
- 4.1.2 编辑现有列100
- 4.1.3 添加/删除列104
- 4.1.4 隐藏/移动/重排列112
- 4.2 分组详情117
- 4.2.1 查看方式117
- 4.2.2 操作树形结构118
- 4.2.3 专家信息123
- 4.3 分组字节流125
- 4.3.1 数值形式126
- 4.3.2 文本形式129
- 4.3.3 分析分组字节131
- 第5章 显示过滤器133
- 5.1 基础使用133
- 5.1.1 使用显示过滤器133
- 5.1.2 获取显示过滤器表达式136
- 5.1.3 使用单一显示过滤器143
- 5.1.4 使用多个显示过滤器150
- 5.1.5 高级过滤器150
- 5.2 使用技巧152
- 5.2.1 使用显示过滤器按钮152
- 5.2.2 使用对话过滤器157
- 5.2.3 基于显示过滤器保存158
- 5.2.4 使用预置表达式160
- 5.2.5 使用宏162
- 第6章 分析手段165
- 6.1 分析分组165
- 6.1.1 查找信息165
- 6.1.2 复制信息167
- 6.2 基于时间分析173
- 6.2.1 时间格式173
- 6.2.2 设置时间参考174
- 6.2.3 修正显示的时间177
- 6.3 名称解析179
- 6.3.1 MAC地址解析179
- 6.3.2 端口自动解析182
- 6.3.3 IP地址解析185
- 6.4 协议解析186
- 6.4.1 启用协议186
- 6.4.2 指定解析的协议188
- 6.5 数据包分组190
- 6.5.1 标记分组191
- 6.5.2 导出分组结果194
- 6.5.3 忽略分组197
- 6.6 分组注释199
- 6.7 跳转分析202
- 6.7.1 顺序跳转202
- 6.7.2 指定跳转分组205
- 6.7.3 对话内跳转207
- 6.7.4 历史记录跳转208
- 6.8 着色规则209
- 6.8.1 启用着色规则209
- 6.8.2 设置着色规则210
- 6.8.3 对话着色214
- 第7章 无线网络抓包和分析216
- 7.1 软硬件需求216
- 7.1.1 Wireshark组件需求216
- 7.1.2 硬件需求217
- 7.2 捕获数据218
- 7.2.1 捕获数据包218
- 7.2.2 流量基本分析223
- 7.2.3 捕获过滤226
- 7.3 分析数据227
- 7.3.1 常用显示过滤器227
- 7.3.2 分析认证方式229
- 7.3.3 分析WEP握手包231
- 7.3.4 分析WPA握手包236
- 7.4 数据解密241
- 7.4.1 WEP解密242
- 7.4.2 WPA解密244
- 7.4.3 永久解密247
- 第8章 网络基础协议数据包分析250
- 8.1 ARP分析250
- 8.1.1 过滤ARP包250
- 8.1.2 分析ARP会话251
- 8.1.3 发现ARP攻击254
- 8.2 DHCP分析258
- 8.2.1 过滤DHCP包258
- 8.2.2 分析DHCP会话259
- 8.2.3 数据统计266
- 8.3 DNS分析267
- 8.3.1 过滤DNS包268
- 8.3.2 分析DNS会话269
- 8.3.3 数据统计271
- 第9章 TCP协议数据分析273
- 9.1 捕获TCP数据包273
- 9.1.1 捕获过滤273
- 9.1.2 端点分析274
- 9.1.3 端口过滤277
- 9.2 会话分析281
- 9.2.1 会话统计281
- 9.2.2 建立连接285
- 9.2.3 断开连接293
- 9.2.4 防火墙过滤301
- 9.3 传输数据分析303
- 9.3.1 跟踪流303
- 9.3.2 保存流308
- 9.3.3 TCP流图形309
- 第10章 UDP协议数据分析315
- 10.1 基础分析315
- 10.1.1 捕获过滤315
- 10.1.2 端点分析318
- 10.1.3 会话分析319
- 10.2 传输数据分析323
- 10.2.1 跟踪流323
- 10.2.2 保存流327
- 10.2.3 UDP多播流328
- 第11章 HTTP协议数据包分析332
- 11.1 过滤数据包332
- 11.1.1 捕获过滤332
- 11.1.2 显示过滤335
- 11.2 IP地址分析337
- 11.2.1 结合DNS数据包分析337
- 11.2.2 结合DNS缓存338
- 11.2.3 自动解析341
- 11.2.4 地址位置信息344
- 11.2.5 网站汇总348
- 11.2.6 编辑解析的名称349
- 11.3 请求分析351
- 11.3.1 请求概要351
- 11.3.2 请求目标353
- 11.3.3 URL数据传递355
- 11.3.4 表单数据传递357
- 11.3.5 Cookie数据传递359
- 11.3.6 请求端类型362
- 11.4 响应分析363
- 11.4.1 请求和响应对应关系364
- 11.4.2 响应状态码366
- 11.4.3 查看网页内容368
- 11.4.4 跟踪流370
- 11.4.5 保存流374
- 11.4.6 导出HTTP对象375
- 11.5 HTTPS分析377
- 11.5.1 TLS流377
- 11.5.2 导出TLS会话密钥380
- 11.5.3 HTTPS统计分析381
- 11.5.4 解密HTTPS数据381
- 第12章 其他应用协议数据包分析388
- 12.1 SMTP/POP3分析388
- 12.1.1 过滤SMTP/POP数据包388
- 12.1.2 分析SMTP会话389
- 12.1.3 导出IMF对象392
- 12.2 SMB分析393
- 12.2.1 过滤SMB数据包394
- 12.2.2 导出SMB对象395
- 12.3 TFTP分析396
- 12.3.1 过滤TFTP数据包396
- 12.3.2 导出TFTP对象397
- 12.4 SCTP分析398
- 12.4.1 过滤SCTP数据包398
- 12.4.2 SCTP分析399
- 12.5 FTP分析401
- 12.5.1 过滤FTP数据包401
- 12.5.2 重组FTP数据406
- 附录A Wireshark命令行工具409
- A.1 捕获文件信息查看工具capinfos409
- A.1.1 基本使用409
- A.1.2 报告形式410
- A.1.3 信息种类414
- A.1.4 杂项415
- A.2 数据包捕获保存工具dumpcap416
- A.2.1 捕获数据416
- A.2.2 远程捕获419
- A.2.3 自动停止捕获420
- A.2.4 保存文件421
- A.3 编辑捕获文件editcap422
- A.3.1 基本语法422
- A.3.2 移除指定的数据包424
- A.3.3 去除重复的数据包424
- A.3.4 修正时间425
- A.3.5 截断存储425
- A.3.6 随机修改426
- A.3.7 合并文件426
- A.3.8 修改注释426
- A.3.9 文件集合426
- A.3.10 修改密钥427
- A.3.11 杂项427
- A.4 数据包分析工具tshark428
- A.4.1 捕获数据428
- A.4.2 自动停止捕获430
- A.4.3 远程捕获431
- A.4.4 处理方式431
- A.4.5 保存文件433
- A.4.6 输出信息434
- A.4.7 杂项439
- A.5 简易数据文件分析工具rawshark439
- A.6 其他工具440
- A.6.1 显示过滤器字节码查看工具dftest441
- A.6.2 合并捕获文件mergecap441
- A.6.3 解析IP地理信息工具mmdbresolve442
- A.6.4 数据包排序工具reordercap443
- A.6.5 十六进制文本数据转化工具text2pcap443