WireShark數據包分析實戰詳解

WireShark數據包分析實戰詳解

《Wireshark數據包分析實戰詳解》是2015年1月29日清華大學出版社出版的圖書,作者是王曉卉、李亞偉。

內容簡介

本書共分3篇。第1篇介紹Wireshark的各項功能,包括基礎知識、Wireshark的定製、捕獲過濾器和顯示過濾器的使用、數據包的著色、導出和重組等;第2篇介紹基於Wireshark對TCP/IP協定族中常用協定的詳細分析,如ARP、IP、UDP、TCP、HTTP、HTTPS和FTP等;第3篇介紹藉助Wireshark分析作業系統啟動過程中的網路通信情況。

前 言

網路的普及給人們的生活帶來了極大的便利,同時網路的安全問題也成為公眾熱點。網路數據抓包和分析作為網路管理和監控最有效的措施,越來越受到網路管理人員和網路安全人員的重視。
Wireshark作為一款開源的專業數據抓包和分析工具,深受業內人士歡迎。它提供了強大的數據抓取功能和豐富的數據分析方式。面對Wireshark強大的功能和海量的數據包,初學者往往無從下手。
筆者結合網路數據傳輸及安全方面存在的各種問題,經過分析及總結,編寫了本書。本書通過專業的數據抓包流程,逐步講解Wireshark各項強大的功能。同時,基於Wireshark抓取的數據包,以層層剝繭的形式,講解常見的各種網路協定。這樣讀者可以更直接地掌握各種協定類型的數據包。
通過本書的學習,讀者不僅可以輕鬆掌握Wireshark的使用,踏入網路數據分析的大門,還可以更為直觀地理解TCP/IP各個協定,以及這些協定在數據包中的表現。掌握這些技術,再加以充分的練習,就可以輕鬆應對網路數據分析等各項工作。

本書特色

1.內容全面、系統、深入
本書介紹了Wireshark的基礎知識、捕獲過濾器和顯示過濾器的使用、對數據包進行導出或重組等。然後,介紹了使用Wireshark對各種協定的詳細分析。最後,還詳細分析了作業系統啟動過程的數據包。
2.貼近實際,專業講解
本書按照Wireshark專業使用流程,對其功能進行詳細講解,幫助讀者掌握最高效的數據抓包、分析技術,以解決各種複雜的網路問題。同時,針對圍繞海量數據包處理問題,本書詳細介紹相關技術,如抓取過濾器、顯示過濾器、著色規則等功能。
3.直觀講解網路協定
對於網路數據包涉及的網路協定,本書給以最直觀的講解。首先分析協定的工作原理以及相關數據包的構成,然後對照Wireshark數據包視圖進行逐條比對,幫助讀者以最直觀的形式學習和掌握各個網路協定。
4.提供多種學習和交流的方式 

本書內容及體系結構

第1篇 Wireshark套用篇(第1~9章)
本篇主要內容包括:Wireshark的基礎知識、設定Wireshark視圖、捕獲過濾器技巧、顯示過濾器技巧、著色規則和數據包導出、構建圖表、重組數據、添加注釋等。通過本篇的學習,讀者可以掌握Wireshark的基本操作,靈活地使用捕獲過濾器和顯示過濾器,並可以對Wireshark中的數據進行重組構建圖表等。
第2篇 網路協定分析篇(第10~20章)
本篇主要內容包括:ARP協定抓包分析、網際網路協定(IP)抓包分析、UDP協定抓包分析、TCP協定抓包分析、ICMP協定抓包分析、DHCP數據抓包分析、DNS抓包分析、HTTP協定抓包分析、HTTPS協定抓包分析、FTP協定抓包分析和電子郵件抓包分析。通過本篇的學習,讀者可以掌握TCP/IP協定族中每層中包括的協定、協定的格式及傳輸的數據等。
第3篇 實戰篇(第21章)
本篇主要內容包括:作業系統啟動過程抓包分析。通過本篇的學習,讀者可以掌握一個作業系統啟動過程中會自動開啟哪些服務、獲取地址的過程及啟動的一些應用程式等。
本書配套資源獲取方式

本書讀者對象

* Wireshark初學者;
* 想全面學習Wireshark的人員;
* 各種興趣愛好者;
* 網路管理員;
* 專業的安全滲透測試人員;
* 大中專院校的學生;
* 社會培訓班學員。

目 錄

第1篇 Wireshark套用篇
第1章 Wireshark的基礎知識2
1.1 Wireshark的功能2
1.1.1 Wireshark主視窗界面2
1.1.2 Wireshark的作用3
1.2 安裝Wireshark4
1.2.1 獲取Wireshark4
1.2.2 安裝Wireshark6
1.3 Wireshark捕獲數據10
1.4 認識數據包10
1.5 捕獲HTTP包13
1.6 訪問Wireshark資源16
1.7 Wireshark快速入門18
1.8 分析網路數據25
1.8.1 分析Web瀏覽數據26
1.8.2 分析後台數據28
1.9 打開其他工具捕獲的檔案29
第2章 設定Wireshark視圖30
2.1 設定Packet List面板列30
2.1.1 添加列30
2.1.2 隱藏、刪除、重新排序及編輯列31
2.2 Wireshark分析器及Profile設定37
2.2.1 Wireshark分析器37
2.2.2 分析非標準連線埠號流量39
2.2.3 設定Wireshark顯示的特定數據類型42
2.2.4 使用Profile定製Wireshark47
2.2.5 查找關鍵的Wireshark Profile48
2.3 數據包時間延遲50
2.3.1 時間延遲50
2.3.2 檢查延遲問題51
2.3.3 檢查時間差延遲問題53
第3章 捕獲過濾器技巧56
3.1 捕獲過濾器簡介56
3.2 選擇捕獲位置57
3.3 選擇捕獲接口58
3.3.1 判斷哪個適配器上的數據58
3.3.2 使用多適配器捕獲59
3.4 捕獲乙太網數據59
3.5 捕獲無線數據60
3.5.1 捕獲無線網路數據的方式60
3.5.2 使用AirPcap適配器61
3.6 處理大數據61
3.6.1 捕獲過濾器61
3.6.2 捕獲檔案集62
3.7 處理隨機發生的問題64
3.8 捕獲基於MAC/IP位址數據66
3.8.1 捕獲單個IP位址數據66
3.8.2 捕獲IP位址範圍68
3.8.3 捕獲廣播或多播地址數據70
3.8.4 捕獲MAC地址數據70
3.9 捕獲連線埠應用程式數據73
3.9.1 捕獲所有連線埠號的數據73
3.9.2 結合基於連線埠的捕獲過濾器74
3.10 捕獲特定ICMP數據77
第4章 顯示技巧80
4.1 顯示過濾器簡介80
4.2 使用顯示過濾器81
4.2.1 顯示過濾器語法81
4.2.2 檢查語法錯誤83
4.2.3 識別欄位名85
4.2.4 比較運算符87
4.2.5 表達式過濾器87
4.2.6 使用自動補全功能89
4.2.7 手動添加顯示列90
4.3 編輯和使用默認顯示過濾器93
4.4 過濾顯示HTTP94
4.5 過濾顯示DHCP97
4.6 根據地址過濾顯示98
4.6.1 顯示單個IP位址或主機數據98
4.6.2 顯示一個地址範圍的數據100
4.6.3 顯示一個子網IP的數據101
4.7 過濾顯示單一的TCP/UDP會話102
4.8 使用複雜表達式過濾106
4.8.1 使用邏輯運算符106
4.8.2 使用括弧108
4.8.3 使用關鍵字110
4.8.4 使用通配符112
4.9 發現通信延遲114
4.9.1 時間過濾器(frame.time_delta)114
4.9.2 基於TCP的時間過濾(tcp.time_delta)115
4.10 設定顯示過濾器按鈕117
4.10.1 創建顯示過濾器表達式按鈕118
4.10.2 編輯、添加、刪除顯示過濾器按鈕118
4.10.3 編輯preferences檔案119
第5章 著色規則和數據包導出122
5.1 認識著色規則122
5.2 禁用著色規則123
5.2.1 禁用指定類型數據包彩色高亮123
5.2.2 禁用所有包彩色高亮125
5.3 創建用戶著色規則125
5.3.1 創建時間差著色規則125
5.3.2 快速查看FTP用戶名密碼著色規則127
5.3.3 創建單個會話著色規則130
5.4 導出數據包131
5.4.1 導出顯示包131
5.4.2 導出標記包133
5.4.3 導出包的詳細信息134
第6章 構建圖表139
6.1 數據統計表139
6.1.1 端點統計139
6.1.2 網路會話統計141
6.1.3 快速過濾會話142
6.1.4 地圖化顯示端點統計信息144
6.2 協定分層統計147
6.3 圖表化顯示頻寬使用情況148
6.3.1 認識IO Graph148
6.3.2 套用顯示過濾器149
6.4 專家信息152
6.5 構建各種網路錯誤圖表154
6.5.1 構建所有TCP標誌位包154
6.5.2 構建單個TCP標誌位包155
第7章 重組數據157
7.1 重組Web會話157
7.1.1 重組Web瀏覽會話157
7.1.2 導出HTTP對象162
7.2 重組FTP會話165
7.2.1 重組FTP數據165
7.2.2 提取FTP傳輸的檔案167
第8章 添加注釋170
8.1 捕獲檔案注釋170
8.2 包注釋170
8.2.1 添加包注釋171
8.2.2 查看包注釋171
8.3 導出包注釋173
8.3.1 使用Export Packet Dissections功能導出173
8.3.2 使用複製功能導出包175
第9章 捕獲、分割和合併數據177
9.1 將大檔案分割為檔案集177
9.1.1 添加Wireshark程式目錄到自己的位置177
9.1.2 使用Capinfos獲取檔案大小和包數177
9.1.3 分割檔案178
9.2 合併多個捕獲檔案183
9.3 命令行捕獲數據184
9.3.1 Dumpcap和Tshark工具184
9.3.2 使用捕獲過濾器187
9.3.3 使用顯示過濾器188
9.4 導出欄位值和統計信息189
9.4.1 導出欄位值189
9.4.2 導出數據統計191
第2篇 網路協定分析篇
第10章 ARP協定抓包分析196
10.1 ARP基礎知識196
10.1.1 什麼是ARP196
10.1.2 ARP工作流程196
10.1.3 ARP快取表197
10.2 捕獲ARP協定包200
10.2.1 Wireshark位置200
10.2.2 使用捕獲過濾器201
10.3 分析ARP協定包203
10.3.1 ARP報文格式203
10.3.2 ARP請求包204
10.3.3 ARP回響包205
第11章 網際網路協定(IP)抓包分析207
11.1 網際網路協定(IP)概述207
11.1.1 網際網路協定地址(IP位址)的由來207
11.1.2 IP位址208
11.1.3 IP位址的構成208
11.2 捕獲IP數據包209
11.2.1 什麼是IP數據報209
11.2.2 Wireshark位置210
11.2.3 捕獲IP數據包210
11.2.4 捕獲IP分片數據包213
11.3 IP數據報首部格式215
11.3.1 存活時間TTL216
11.3.2 IP分片217
11.4 分析IP數據包218
11.4.1 分析IP首部218
11.4.2 分析IP數據包中TTL的變化220
11.4.3 IP分片數據包分析223
第12章 UDP協定抓包分析229
12.1 UDP協定概述229
12.1.1 什麼是UDP協定229
12.1.2 UDP協定的特點229
12.2 捕獲UDP數據包230
12.3 分析UDP數據包232
12.3.1 UDP首部格式233
12.3.2 分析UDP數據包233
第13章 TCP協定抓包分析236
13.1 TCP協定概述236
13.1.1 TCP協定的由來236
13.1.2 TCP連線埠236
13.1.3 TCP三次握手237
13.1.4 TCP四次斷開239
13.1.5 TCP重置239
13.2 捕獲TCP數據包240
13.2.1 使用捕獲過濾器240
13.2.2 使用顯示過濾器242
13.2.3 使用著色規則243
13.3 TCP數據包分析249
13.3.1 TCP首部249
13.3.2 分析TCP的三次握手251
13.3.3 分析TCP的四次斷開257
13.3.4 分析TCP重置數據包263
第14章 ICMP協定抓包分析266
14.1 ICMP協定概述266
14.1.1 什麼是ICMP協定266
14.1.2 學習ICMP的重要性266
14.1.3 Echo請求與回響267
14.1.4 路由跟蹤267
14.2 捕獲ICMP協定包267
14.2.1 捕獲正常ICMP數據包268
14.2.2 捕獲請求逾時的數據包269
14.2.3 捕獲目標主機不可達的數據包271
14.3 分析ICMP數據包272
14.3.1 ICMP首部272
14.3.2 分析ICMP數據包——Echo Ping請求包274
14.3.3 分析ICMP數據包——Echo Ping回響包275
14.3.4 分析ICMP數據包——請求逾時數據包277
14.3.5 分析ICMP數據包——目標主機不可達的數據包279
第15章 DHCP數據抓包分析281
15.1 DHCP概述281
15.1.1 什麼是DHCP281
15.1.2 DHCP的作用281
15.1.3 DHCP工作流程282
15.2 DHCP數據抓包284
15.2.1 Wireshark位置284
15.2.2 使用捕獲過濾器284
15.2.3 過濾顯示DHCP289
15.3 DHCP數據包分析291
15.3.1 DHCP報文格式291
15.3.2 DHCP報文類型292
15.3.3 發現數據包293
15.3.4 回響數據包296
15.3.5 請求數據包298
15.3.6 確認數據包301
第16章 DNS抓包分析304
16.1 DNS概述304
16.1.1 什麼是DNS304
16.1.2 DNS的系統結構305
16.1.3 DNS系統解析過程305
16.1.4 DNS問題類型307
16.2 捕獲DNS數據包307
16.3 分析DNS數據包311
16.3.1 DNS報文格式311
16.3.2 分析DNS數據包312
第17章 HTTP協定抓包分析317
17.1 HTTP協定概述317
17.1.1 什麼是HTTP317
17.1.2 HTTP請求方法317
17.1.3 HTTP工作流程318
17.1.4 持久連線和非持久連線319
17.2 捕獲HTTP數據包320
17.2.1 使用捕獲過濾器320
17.2.2 顯示過濾HTTP協定包323
17.2.3 導出數據包326
17.3 分析HTTP數據包332
17.3.1 HTTP報文格式332
17.3.2 HTTP的頭域333
17.3.3 分析GET方法的HTTP數據包335
17.3.4 分析POST方法的HTTP數據包339
17.4 顯示捕獲檔案的原始內容343
17.4.1 安裝Xplico343
17.4.2 解析HTTP包344
第18章 HTTPS協定抓包分析351
18.1 HTTPS協定概述351
18.1.1 什麼是HTTPS協定351
18.1.2 HTTP和HTTPS協定的區別351
18.1.3 HTTPS工作流程352
18.2 SSL概述352
18.2.1 什麼是SSL353
18.2.2 SSL工作流程353
18.2.3 SSL協定的握手過程353
18.3 捕獲HTTPS數據包354
18.3.1 使用捕獲過濾器354
18.3.2 顯示過濾數據包356
18.4 分析HTTPS數據包359
18.4.1 客戶端發出請求(Client Hello)360
18.4.2 伺服器回響(Server Hello)362
18.4.3 證書信息363
18.4.4 密鑰交換365
18.4.5 套用層信息通信367
第19章 FTP協定抓包分析368
19.1 FTP協定概述368
19.1.1 什麼是FTP協定368
19.1.2 FTP的工作流程368
19.1.3 FTP常用控制命令369
19.1.4 應答格式370
19.2 捕獲FTP協定數據包372
19.3 分析FTP協定數據包375
19.3.1 分析控制連線的數據375
19.3.2 分析數據連線的數據376
第20章 電子郵件抓包分析380
20.1 郵件系統工作原理380
20.1.1 什麼郵件客戶端380
20.1.2 郵件系統的組成及傳輸過程380
20.2 郵件相關協定概述381
20.2.1 SMTP協定382
20.2.2 POP協定383
20.2.3 IMAP協定384
20.3 捕獲電子郵件數據包386
20.3.1 Wireshark捕獲位置386
20.3.2 Foxmail郵件客戶端的使用387
20.3.3 捕獲電子郵件數據包389
20.4 分析傳送郵件的數據包390
20.4.1 分析SMTP工作流程391
20.4.2 查看郵件內容392
20.5 分析接收郵件的數據包393
20.5.1 分析POP工作流程393
20.5.2 查看郵件內容395
第3篇 實戰篇
第21章 作業系統啟動過程抓包分析398
21.1 作業系統概述398
21.2 捕獲作業系統啟動過程產生的數據包399
21.3 分析數據包401
21.3.1 獲取IP位址401
21.3.2 加入組播組402
21.3.3 傳送NBNS協定包402
21.3.4 ARP協定包的產生403
21.3.5 訪問共享資源404
21.3.6 開機自動運行的程式404

相關詞條

熱門詞條

聯絡我們