Wireshark 数据包分析实战详解 PDF 文档
本书共分 3 篇。第 1 篇介绍 Wireshark 的各项功能,包括基础知识、Wireshark 的定制、捕获过滤器和显示过滤器的使用、数据包的着色、导出和重组等;第 2 篇介绍基于 Wireshark 对 TCP/IP 协议族中常用协议的详细分析,如 ARP、IP、UDP、TCP、HTTP、HTTPS 和 FTP 等;第 3 篇介绍借助 Wireshark 分析操作系统启动过程中的网络通信情况。
网络的普及给人们的生活带来了极大的便利,同时网络的安全问题也成为公众热点。网络数据抓包和分析作为网络管理和监控最有效的措施,越来越受到网络管理人员和网络安全人员的重视。
Wireshark 作为一款开源的专业数据抓包和分析工具,深受业内人士欢迎。它提供了强大的数据抓取功能和丰富的数据分析方式。面对 Wireshark 强大的功能和海量的数据包,初学者往往无从下手。
笔者结合网络数据传输及安全方面存在的各种问题,经过分析及总结,编写了本书。本书通过专业的数据抓包流程,逐步讲解 Wireshark 各项强大的功能。同时,基于 Wireshark 抓取的数据包,以层层剥茧的形式,讲解常见的各种网络协议。这样读者可以更直接地掌握各种协议类型的数据包。
通过本书的学习,读者不仅可以轻松掌握 Wireshark 的使用,踏入网络数据分析的大门,还可以更为直观地理解 TCP/IP 各个协议,以及这些协议在数据包中的表现。掌握这些技术,再加以充分的练习,就可以轻松应对网络数据分析等各项工作。
封面
书名
版权
前言
本书配套资源获取方式
目录
第 1 篇 Wireshark 应用篇
第 1 章 Wireshark 的基础知识
1.1 Wireshark 的功能
1.1.1 Wireshark 主窗口界面
1.1.2 Wireshark 的作用
1.2 安装 Wireshark
1.2.1 获取 Wireshark
1.2.2 安装 Wireshark
1.3 Wireshark 捕获数据
1.4 认识数据包
1.5 捕获 HTTP 包
1.6 访问 Wireshark 资源
1.7 Wireshark 快速入门
1.8 分析网络数据
1.8.1 分析 Web 浏览数据
1.8.2 分析后台数据
1.9 打开其他工具捕获的文件
第 2 章 设置 Wireshark 视图
2.1 设置 Packet List 面板列
2.1.1 添加列
2.1.2 隐藏、删除、重新排序及编辑列
2.2 Wireshark 分析器及 Profile 设置
2.2.1 Wireshark 分析器
2.2.2 分析非标准端口号流量
2.2.3 设置 Wireshark 显示的特定数据类型
2.2.4 使用 Profile 定制 Wireshark
2.2.5 查找关键的 Wireshark Profile
2.3 数据包时间延迟
2.3.1 时间延迟
2.3.2 检查延迟问题
2.3.3 检查时间差延迟问题
第 3 章 捕获过滤器技巧
3.1 捕获过滤器简介
3.2 选择捕获位置
3.3 选择捕获接口
3.3.1 判断哪个适配器上的数据
3.3.2 使用多适配器捕获
3.4 捕获以太网数据
3.5 捕获无线数据
3.5.1 捕获无线网络数据的方式
3.5.2 使用 AirPcap 适配器
3.6 处理大数据
3.6.1 捕获过滤器
3.6.2 捕获文件集
3.7 处理随机发生的问题
3.8 捕获基于 MAC/IP 地址数据
3.8.1 捕获单个 IP 地址数据
3.8.2 捕获 IP 地址范围
3.8.3 捕获广播或多播地址数据
3.8.4 捕获 MAC 地址数据
3.9 捕获端口应用程序数据
3.9.1 捕获所有端口号的数据
3.9.2 结合基于端口的捕获过滤器
3.10 捕获特定 ICMP 数据
第 4 章 显示技巧
4.1 显示过滤器简介
4.2 使用显示过滤器
4.2.1 显示过滤器语法
4.2.2 检查语法错误
4.2.3 识别字段名
4.2.4 比较运算符
4.2.5 表达式过滤器
4.2.6 使用自动补全功能
4.2.7 手动添加显示列
4.3 编辑和使用默认显示过滤器
4.4 过滤显示 HTTP
4.5 过滤显示 DHCP
4.6 根据地址过滤显示
4.6.1 显示单个 IP 地址或主机数据
4.6.2 显示一个地址范围的数据
4.6.3 显示一个子网 IP 的数据
4.7 过滤显示单一的 TCP/UDP 会话
4.8 使用复杂表达式过滤
4.8.1 使用逻辑运算符
4.8.2 使用括号
4.8.3 使用关键字
4.8.4 使用通配符
4.9 发现通信延迟
4.9.1 时间过滤器(frame.time_delta)
4.9.2 基于 TCP 的时间过滤(tcp.time_delta)
4.10 设置显示过滤器按钮
4.10.1 创建显示过滤器表达式按钮
4.10.2 编辑、添加、删除显示过滤器按钮
4.10.3 编辑 preferences 文件
第 5 章 着色规则和数据包导出
5.1 认识着色规则
5.2 禁用着色规则
5.2.1 禁用指定类型数据包彩色高亮
5.2.2 禁用所有包彩色高亮
5.3 创建用户着色规则
5.3.1 创建时间差着色规则
5.3.2 快速查看 FTP 用户名密码着色规则
5.3.3 创建单个会话着色规则
5.4 导出数据包
5.4.1 导出显示包
5.4.2 导出标记包
5.4.3 导出包的详细信息
第 6 章 构建图表
6.1 数据统计表
6.1.1 端点统计
6.1.2 网络会话统计
6.1.3 快速过滤会话
6.1.4 地图化显示端点统计信息
6.2 协议分层统计
6.3 图表化显示带宽使用情况
6.3.1 认识 IO Graph
6.3.2 应用显示过滤器
6.4 专家信息
6.5 构建各种网络错误图表
6.5.1 构建所有 TCP 标志位包
6.5.2 构建单个 TCP 标志位包
第 7 章 重组数据
7.1 重组 Web 会话
7.1.1 重组 Web 浏览会话
7.1.2 导出 HTTP 对象
7.2 重组 FTP 会话
7.2.1 重组 FTP 数据
7.2.2 提取 FTP 传输的文件
第 8 章 添加注释
8.1 捕获文件注释
8.2 包注释
8.2.1 添加包注释
8.2.2 查看包注释
8.3 导出包注释
8.3.1 使用 Export Packet Dissections 功能导出
8.3.2 使用复制功能导出包
第 9 章 捕获、分割和合并数据
9.1 将大文件分割为文件集
9.1.1 添加 Wireshark 程序目录到自己的位置
9.1.2 使用 Capinfos 获取文件大小和包数
9.1.3 分割文件
9.2 合并多个捕获文件
9.3 命令行捕获数据
9.3.1 Dumpcap 和 Tshark 工具
9.3.2 使用捕获过滤器
9.3.3 使用显示过滤器
9.4 导出字段值和统计信息
9.4.1 导出字段值
9.4.2 导出数据统计
第 2 篇 网络协议分析篇
第 10 章 ARP 协议抓包分析
10.1 ARP 基础知识
10.1.1 什么是 ARP
10.1.2 ARP 工作流程
10.1.3 ARP 缓存表
10.2 捕获 ARP 协议包
10.2.1 Wireshark 位置
10.2.2 使用捕获过滤器
10.3 分析 ARP 协议包
10.3.1 ARP 报文格式
10.3.2 ARP 请求包
10.3.3 ARP 响应包
第 11 章 互联网协议(IP)抓包分析
11.1 互联网协议(IP)概述
11.1.1 互联网协议地址(IP 地址)的由来
11.1.2 IP 地址
11.1.3 IP 地址的构成
11.2 捕获 IP 数据包
11.2.1 什么是 IP 数据报
11.2.2 Wireshark 位置
11.2.3 捕获 IP 数据包
11.2.4 捕获 IP 分片数据包
11.3 IP 数据报首部格式
11.3.1 存活时间 TTL
11.3.2 IP 分片
11.4 分析 IP 数据包
11.4.1 分析 IP 首部
11.4.2 分析 IP 数据包中 TTL 的变化
11.4.3 IP 分片数据包分析
第 12 章 UDP 协议抓包分析
12.1 UDP 协议概述
12.1.1 什么是 UDP 协议
12.1.2 UDP 协议的特点
12.2 捕获 UDP 数据包
12.3 分析 UDP 数据包
12.3.1 UDP 首部格式
12.3.2 分析 UDP 数据包
第 13 章 TCP 协议抓包分析
13.1 TCP 协议概述
13.1.1 TCP 协议的由来
13.1.2 TCP 端口
13.1.3 TCP 三次握手
13.1.4 TCP 四次断开
13.1.5 TCP 重置
13.2 捕获 TCP 数据包
13.2.1 使用捕获过滤器
13.2.2 使用显示过滤器
13.2.3 使用着色规则
13.3 TCP 数据包分析
13.3.1 TCP 首部
13.3.2 分析 TCP 的三次握手
13.3.3 分析 TC P 的四次断开
13.3.4 分析 TCP 重置数据包
第 14 章 ICMP 协议抓包分析
14.1 ICMP 协议概述
14.1.1 什么是 ICMP 协议
14.1.2 学习 ICMP 的重要性
14.1.3 Echo 请求与响应
14.1.4 路由跟踪
14.2 捕获 ICMP 协议包
14.2.1 捕获正常 ICMP 数据包
14.2.2 捕获请求超时的数据包
14.2.3 捕获目标主机不可达的数据包
14.3 分析 ICMP 数据包
14.3.1 ICMP 首部
14.3.2 分析 ICMP 数据包——Echo Ping 请求包
14.3.3 分析 ICMP 数据包——Echo Ping 响应包
14.3.4 分析 ICMP 数据包——请求超时数据包
14.3.5 分析 ICMP 数据包——目标主机不可达的数据包
第 15 章 DHCP 数据抓包分析
15.1 DHCP 概述
15.1.1 什么是 DHCP
15.1.2 DHCP 的作用
15.1.3 DHCP 工作流程
15.2 DHCP 数据抓包
15.2.1 Wireshark 位置
15.2.2 使用捕获过滤器
15.2.3 过滤显示 DHCP
15.3 DHCP 数据包分析
15.3.1 DHCP 报文格式
15.3.2 DHCP 报文类型
15.3.3 发现数据包
15.3.4 响应数据包
15.3.5 请求数据包
15.3.6 确认数据包
第 16 章 DNS 抓包分析
16.1 DNS 概述
16.1.1 什么是 DNS
16.1.2 DNS 的系统结构
16.1.3 DNS 系统解析过程
16.1.4 DNS 问题类型
16.2 捕获 DNS 数据包
16.3 分析 DNS 数据包
16.3.1 DNS 报文格式
16.3.2 分析 DNS 数据包
第 17 章 HTTP 协议抓包分析
17.1 HTTP 协议概述
17.1.1 什么是 HTTP
17.1.2 HTTP 请求方法
17.1.3 HTTP 工作流程
17.1.4 持久连接和非持久连接
17.2 捕获 HTTP 数据包
17.2.1 使用捕获过滤器
17.2.2 显示过滤 HTTP 协议包
17.2.3 导出数据包
17.3 分析 HTTP 数据包
17.3.1 HTTP 报文格式
17.3.2 HTTP 的头域
17.3.3 分析 GET 方法的 HTTP 数据包
17.3.4 分析 POST 方法的 HTTP 数据包
17.4 显示捕获文件的原始内容
17.4.1 安装 Xplico
17.4.2 解析 HTTP 包
第 18 章 HTTPS 协议抓包分析
18.1 HTTPS 协议概述
18.1.1 什么是 HTTPS 协议
18.1.2 HTTP 和 HTTPS 协议的区别
18.1.3 HTTPS 工作流程
18.2 SSL 概述
18.2.1 什么是 SSL
18.2.2 SSL 工作流程
18.2.3 SSL 协议的握手过程
18.3 捕获 HTTPS 数据包
18.3.1 使用捕获过滤器
18.3.2 显示过滤数据包
18.4 分析 HTTPS 数据包
18.4.1 客户端发出请求(Client Hello)
18.4.2 服务器响应(ServerHello)
18.4.3 证书信息
18.4.4 密钥交换
18.4.5 应用层信息通信
第 19 章 FTP 协议抓包分析
19.1 FTP 协议概述
19.1.1 什么是 FTP 协议
19.1.2 FTP 的工作流程
19.1.3 FTP 常用控制命令
19.1.4 应答格式
19.2 捕获 FTP 协议数据包
19.3 分析 FTP 协议数据包
19.3.1 分析控制连接的数据
19.3.2 分析数据连接的数据
第 20 章 电子邮件抓包分析
20.1 邮件系统工作原理
20.1.1 什么邮件客户端
20.1.2 邮件系统的组成及传输过程
20.2 邮件相关协议概述
20.2.1 SMTP 协议
20.2.2 POP 协议
20.2.3 IMAP 协议
20.3 捕获电子邮件数据包
20.3.1 Wireshark 捕获位置
20.3.2 Foxmail 邮件客户端的使用
20.3.3 捕获电子邮件数据包
20.4 分析发送邮件的数据包
20.4.1 分析 SMTP 工作流程
20.4.2 查看邮件内容
20.5 分析接收邮件的数据包
20.5.1 分析 POP 工作流程
20.5.2 查看邮件内容
第 3 篇 实战篇
第 21 章 操作系统启动过程抓包分析
21.1 操作系统概述
21.2 捕获操作系统启动过程产生的数据包
21.3 分析数据包
21.3.1 获取 IP 地址
21.3.2 加入组播组
21.3.3 发送 NBNS 协议包
21.3.4 ARP 协议包的产生
21.3.5 访问共享资源
21.3.6 开机自动运行的程序
下载地址:https://www.wenjiangs.com/wp-content/uploads/2023/10/0IQ4R0vIv33Wse5C.zip
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论