Wireshark 数据包分析实战 PDF 文档

Question

数据包分析，也叫数据包嗅探或协议分析：指捕获和解析网络上在线传输数据的过程，为了能更好地了解网络上正在发生的事情。

协议栈中的每层协议都负责在传输数据上增加一个协议头部或尾部，其中包含了使协议栈之间能够进行通信的额外信息。数据封装过程将创建一个协议数据单元 PDU，其中包括正在发送的网络数据，以及所有增加的头部和尾部协议信息。数据包指的就是一个完整的 PDU。

一、数据包分析基础
1、数据包分析
2、目标
3、软件
4、协议
5、数据封装
6、网络硬件
7、流量分类
（1）广播流量
（2）多播流量
（3）单播流量
二、监听网络线路
1、关键决策
2、混杂模式
3、集线器嗅探方式
4、交换机嗅探方式
（1）端口镜像
（2）集线器输出
（3）网络分流器
（4）ARP 欺骗
5、路由器嗅探方式
三、Wireshark 基础用法
1、查找：Ctrl+F
2、标记：Ctrl+M 或右键菜单
3、时间显示格式
4、相对时间：Ctrl+T
5、捕获选项：Ctrl+K
6、名字解析
（1）类型
（2）弊端
7、协议解析
8、过滤器
（1）过滤器 BPF 语法
（2）显示过滤器
（3）比较操作符
（4）逻辑操作符
（5）过滤器举例
四、流量分析和图形化功能
1、网络端点
2、网络会话
3、协议分层
4、数据包长度分析
5、跟踪 TCP 流
6、图形展示
（1）查看 IO 图
（2）双向时间图
（3）数据流图
7、专家信息
（1）数据包标记
（2）数据包分析
五、通用底层网络协议
1、地址解析协议 ARP（AddressResolutionProtocol）
（1）ARP 头
（2）数据包分析
（3）无偿的 ARP
2、IP 协议
（1）IP 头
（2）数据包分析
（3）IP 分片
3、传输控制协议 TCP（TransmissionControlProtocol）
（1）TCP 头
（2）TCP 端口
（3）TCP 标志
（4）TCP 三次握手
（5）TCP 的四次断开
（6）TCP 重置
4、用户数据报协议 UDP（UserDatagramProtocol）
（1）UDP 头
（2）数据包分析
5、互联网控制消息协议 ICMP（InternetControlMessageProtocol）
（1）ICMP 头
（2）ICMP 类型和代码
（3）Echo 请求与响应
（4）路由跟踪
六、常见高层网络协议
1、动态主机配置协议 DHCP（DynamicHostConfigurationProtocol
（1）DHCP 头
（2）数据包分析
（3）租约内续约
2、域名系统 DNS（DomainNameSystem）
（1）DNS 头
（2）数据包分析
（3）DNS 问题类型
（4）DNS 递归
（5）DNS 区域传送
3、超文本传输协议 HTTP（HypertextTransferProtocol）
（1）使用 HTTP 浏览
（2）使用 HTTP 上传数据
基础的现实世界场景
1、捕获 Twitter 社交网络流量
（1）登录过程
（2）上传数据
2、捕获 Facebook 社交网络流量
（1）登陆过程
（2）发送私信
（3）比较 Twitter 和 Facebook 的方法
3、捕获新闻网站 ESPN.com 流量（共 956 个数据包）
（1）使用会话窗口
（2）使用协议分层统计窗口
（3）查看 DNS 流量
（4）查看 HTTP 请求
（5）查看概况以了解所花时间
4、现实世界问题
（1）无法访问 Internet：配置问题
（2）无法访问 Internet：意外重定向
（3）无法访问 Internet：上游问题
（4）打印机故障
（5）分公司之困
（6）生气的开发者
八、让网络不再卡
1、TCP 的错误恢复特性
（1）TCP 重传
（2）TCP 重复确认和快速重传
2、TCP 流量控制
（1）调整窗口大小
（2）用零窗口通知停止数据流
（3）TCP 滑动窗口实战
3、TCP 错误控制和流量控制总结
（1）重传包
（2）重复 ACK 包
（3）零窗口和保活包
4、定位高延迟原因
（1）正常通信
（2）线路延迟
（3）客户端延迟
（4）服务器延迟
（5）延迟定位框架
5、网络基线
（1）站点基线
（2）主机基线
（3）程序基线
（4）注意事项
九、安全领域的数据包分析
1、网络侦察
（1）SYN 扫描
（2）操作系统指纹术
2、漏洞利用
（1）极光行动
（2）ARP 缓存攻击
（3）远程访问木马
十、无线网络数据包分析
1、物理因素
（1）一次嗅探一个信道
（2）无线信号干扰
（3）检测和分析信号干扰
2、无线网卡模式
3、在 Windows 上嗅探无线网络
（1）配置 AirPcap
（2）AirPcap 捕获流量
4、在 Linux 上嗅探无线网络
5、802.11 数据包结构
6、增加无线专用列
7、无线专用过滤器
（1）筛选特定 BSSID 的流量
（2）筛选特定的无线数据包类型
（3）筛选特定频率
8、无线网络安全
（1）成功的 WEP 认证
（2）失败的 WEP 认证
（3）成功的 WPA 认证
（4）失败的 WPA 认证
附录 A：其他数据包分析工具
附录 B：数据包分析资源

下载地址：https://www.wenjiangs.com/wp-content/uploads/2023/10/lk5ONGy6LLjPQqGv.zip