基本信息

書名:WIRESHARK數據包分析實戰

定價

作者:[美]克裡斯·桑德斯（Chris Sanders）

出版社：人民郵電出版社

出版日期：2018-11-01

ISBN：9787115494313

字數：448000

頁碼：332

版次：1

裝幀：平裝

開本：16開

商品重量：

編輯推薦

借助 Wireshark 這款世界流行的網絡器，不管是有線網絡還是無線網絡，讀者都可以很容易地捕獲到網絡中的數據包。但是，如何使用這些數據包來理解網絡狀況呢？本書內容針對 Wireshark 2.x 版本進行了更新，以幫助讀者掌握數據包捕獲的方法，從而更好地解決網絡問題。本書新增了 IPv6 和 SMTP 的相關知識，並討論了 TShark 和 Tcpdump 兩種命令行包分析工具的使用方法。此外，本書還介紹了使用數據包結構圖查看和表示數據包的內容。您將學到： 實時監控網絡，並參與實時網絡通信； 構建自定義的捕獲過濾器和顯示過濾器； 使用包分析來解決常見的網絡問題，如連接丟失、DNS問題和網絡性能緩慢等； 在數據包級別探索現代漏洞和惡意軟件； 從捕獲的數據包中提取通過網絡發送的文件； 繪制流量模式使網絡中傳輸的數據可視化； 使用Wireshark高 級特性來理解令人困惑的捕獲文件； 構建統計數據和報告，以便更好地向非技術人員解釋技術性的網絡信息。無論是初學者還是有經驗的網絡技術人員，都將通過本書學會如何使用 Wireshark 完成網絡任務，從而更加深入地理解網絡概念。本書內容豐富，設計巧妙又通俗易懂。老實說，這本數據包分析的圖書讓我倍感興奮。—TechRepublic強烈建議初級網絡分析師、軟件開發人員和剛剛取得CSE/CISSP等認證的人員閱讀本書。讀完本書後，你們隻需要卷起袖子，就可以動手排除網絡（和安全）問題了。—Gunter Ollmann, IOActive前首 席技術官下一次再排查網絡變慢的問題時，我將求助本書。對任何技術圖書來說，這或許是我能給的好的評價。—Michael W. Lucas，Absolute FreeBSD and Network Flow Analysis作者無論你負責多大規模的網絡管理，本書都必不可少。—Linux Pro Magazine本書寫作精良、簡單易用、格式良好，相當實用。—ArsGeek.如果你想要熟練掌握數據包分析的基本知識，那麼本書是一個不錯的選擇。—State Of Security本書內容豐富，緊扣“實戰”主題。它向讀者提供了進行數據包分析所需的信息，並借助於真實的實例演示了Wirshark的用途。—LinuxSecurity.網絡中有未知的主機之間在互相通信？ 我的機器正在與陌生的主機通信？ 你隻需要一個數據包器就可以找到這些問題的答案，Wireshark是完成這項工作的工具之一，而本書是了解該工具的方法之一。—Free Software Magazine本書是數據包分析初學者和進階者的理想之選。—D

內容提要

Wireshark是流行的網絡軟件，《Wireshark數據包分析實戰（第3版）》在上一版的基礎上針對Wireshark 2.0.5和IPv6進行了更新，並通過大量真實的案例對Wireshark的使用進行了詳細講解，旨在幫助讀者理解Wireshark捕獲的PCAP格式的數據包，以便對網絡中的問題進行排錯。《Wireshark數據包分析實戰（第3版）》共13章，從數據包分析與數據包器的基礎知識開始，循序漸進地介紹Wireshark的基本使用方法及其數據包分析功能特性，同時還介紹了針對不同協議層與無線網絡的具體實踐技術與經驗技巧。在此過程中，作者結合大量真實的案例，圖文並茂地演示使用Wireshark進行數據包分析的技術方法，使讀者能夠順著本書思路逐步掌握網絡數據包與分析技能。附錄部分列舉了數據包分析工具，以及其他數據包分析的學習資源，並對數據包的表現形式展開討論，介紹如何使用數據包結構圖查看和表示數據包。《Wireshark數據包分析實戰（第3版）》適合網絡協議開發人員、網絡管理與維護人員、“不懷好意的”的黑客、選修網絡課程的高校學生閱讀。

目錄

第 1章  數據包分析技術與網絡基礎11.1  數據包分析與數據包器  21.1.1  評估數據包器  21.1.2  數據包器工作過程  31.2  網絡通信原理  41.2.1  協議  41.2.2  七層OSI參考模型  51.2.3  OSI參考模型中的數據流向  71.2.4  數據封裝  81.2.5  網絡硬件  111.3  流量分類  161.3.1  廣播流量  161.3.2  組播流量  171.3.3  單播流量  171.4  小結  17第  2章 監聽網絡線路  182.1  混雜模式  192.2  在集線器連接網絡中  202.3  在交換式網絡中進行  222.3.1  端口鏡像  222.3.2  集線器輸出  242.3.3  使用網絡分流器  262.3.4  ARP緩存污染  282.4  在路由網絡環境中進行  332.5  部署器的實踐指南  35第3章  Wireshark入門  373.1  Wireshark簡史  373.2  Wireshark的優點  383.3  安裝Wireshark  393.3.1  在微軟Windows繫統中安裝  403.3.2  在Linux繫統中安裝  413.3.3  在Mac OS X繫統中安裝  433.4  Wireshark初步入門  443.4.1  第 一次捕獲數據包  443.4.2  Wireshark主窗口  453.4.3  Wireshark項  463.4.4  數據包彩色高亮  483.4.5  配置文件  503.4.6  配置方案  51第4章  玩轉捕獲數據包  534.1  使用捕獲文件  534.1.1  保存和導出捕獲文件  544.1.2  合並捕獲文件  554.2  分析數據包  564.2.1  保存和導出捕獲文件  564.2.2  標記數據包  574.2.3  打印數據包  584.3  設定時間顯示格式和相對參考  594.3.1  時間顯示格式  594.3.2  數據包的相對時間參考  604.3.3  時間偏移  614.4  設定捕獲選項  614.4.1  輸入標簽頁  614.4.2  輸出標簽頁  624.4.3  選項標簽頁  644.5  過濾器  654.5.1  捕獲過濾器  654.5.2  顯示過濾器  714.5.3  保存過濾器規則  754.5.4  在工具欄中增加顯示過濾器  76第5章  Wireshark不錯特性  775.1  端點和網絡會話  775.1.1  查看端點統計  785.1.2  查看網絡會話  795.1.3  使用端點和會話定位用量者  805.2  基於協議分層結構的統計  835.3  名稱解析  845.3.1  開啟名稱解析  845.3.2  名稱解析的潛在弊端  865.3.3  使用自定義hosts文件  865.4  協議解析  885.4.1  更換解析器  885.4.2  查看解析器源代碼  905.5  流跟蹤  915.6  數據包長度  945.7  圖形展示  955.7.1  查看IO圖  955.7.2  雙向時間圖  985.7.3  數據流圖  995.8  專家信息  100第6章  用命令行分析數據包  1036.1  安裝TShark  1046.2  安裝Tcpdump  1056.3  捕獲和保存流量  1066.4  控制輸出  1086.5  名稱解析  1116.6  應用過濾器  1126.7  TShark裡的時間顯示格式  1146.8  TShark中的總結統計  1146.9  TShark VS Tcpdump  117第7章  網絡層協議  1197.1  地址解析協議  1207.1.1  ARP頭  1217.1.2  數據包1：ARP請求  1227.1.3  數據包2：ARP響應  1237.1.4  Gratuitous ARP  1247.2  互聯網協議  1257.2.1  互聯網協議第4版（IPv4）  1257.2.2  互聯網協議第6版（IPv6）  1337.3  互聯網控制消息協議  1447.3.1  ICMP頭  1447.3.2  ICMP類型和消息  1457.3.3  Echo請求與響應  1457.3.4  路由跟蹤  1487.3.5  ICMP第6版（ICMPv6）  150第8章  傳輸層協議  1518.1  傳輸控制協議（TCP）  1518.1.1  TCP報頭  1528.1.2  TCP端口  1538.1.3  TCP的三次握手  1558.1.4  TCP鏈接斷開  1588.1.5  TCP重置  1608.2  用戶數據報協議  161第9章  常見高層網絡協議  1639.1  動態主機配置協議DHCP  1639.1.1  DHCP頭結構  1649.1.2  DHCP續租過程  1659.1.3  DHCP租約內續租  1709.1.4  DHCP選項和消息類型  1719.1.5  DHCP Version6 (DHCPv6)  1719.2  域名繫統  1739.2.1  DNS數據包結構  1749.2.2  一次簡單的DNS查詢過程  1759.2.3  DNS問題類型  1779.2.4  DNS遞歸  1779.2.5  DNS區域傳送  1819.3  超文本傳輸協議  1849.3.1  使用瀏覽  1849.3.2  使用傳送數據  1869.4  簡單郵件傳輸協議（SMTP）  1889.4.1  收發郵件  1889.4.2  跟蹤一封電子郵件  1909.4.3  使用SMTP發送附件  1979.5  小結  199第  10章 基礎的現實世界場景  20010.1  丟失的網頁內容  20110.1.1  偵聽線路  20110.1.2  分析  20210.1.3  學到的知識  20610.2  無響應的氣像服務  20610.2.1  偵聽線路  20710.2.2  分析  20810.2.3  學到的知識  21110.3  無法訪問Inter  21110.3.1  網關配置問題  21210.3.2  意外重定向  21510.3.3  上遊問題  21810.4  打印機故障  22110.4.1  偵聽線路  22110.4.2  分析  22110.4.3  學到的知識  22410.5  分公司之困  22410.5.1  偵聽線路  22510.5.2  分析  22510.5.3  學到的知識  22810.6  生氣的開發者  22810.6.1  偵聽線路  22810.6.2  分析  22910.6.3  學到的知識  23210.7  結語  232第  11章 讓網絡不再卡  23311.1  TCP的錯誤恢復特性  23411.1.1  TCP重傳  23411.1.2  TCP重復確認和快速重傳  23711.2  TCP流控制  24211.2.1  調整窗口大小  24311.2.2  用零窗口通知停止數據流  24411.2.3  TCP滑動窗口實戰  24511.3  從TCP錯誤控制和流量控制中學到的  24911.4  定位高延遲的原因  25011.4.1  正常通信  25011.4.2  慢速通信—線路延遲  25111.4.3  通信緩慢—客戶端延遲  25211.4.4  通信緩慢—服務器延遲  25311.4.5  延遲定位框架  25311.5  網絡基線  25411.5.1  站點基線  25511.5.2  主機基線  25611.5.3  應用程序基線  25711.5.4  基線的其他注意事項  25711.6  小結  258第  12章 安全領域的數據包分析  25912.1    26012.1.1  SYN掃描  26012.1.2  操作繫統指紋  26512.2  流量操縱  26812.2.1  ARP緩存污染攻擊  26812.2.2  會話劫持  27312.3  漏洞利用  27612.3.1  極光行動  27712.3.2  遠程訪問特洛伊木馬  28312.4  漏洞利用工具包和勒索軟件  29012.5  小結  296第  13章 無線網絡數據包分析  29713.1  物理因素  29713.1.1  一次一個信道  29813.1.2  無線信號干擾  29913.1.3  檢測和分析信號干擾  29913.2  無線網卡模式  30013.3  在Windows上無線網絡  30213.3.1  配置AirPcap  30213.3.2  使用AirPcap捕獲流量  30313.4  在Linux上無線網絡  30413.5  802.11數據包結構  30613.6  在Packet List面板增加無線專用列  30713.7  無線專用過濾器  30813.7.1  篩選特定BSS ID的流量  30913.7.2  篩選特定的無線數據包類型  30913.7.3  篩選特定頻率  31013.8  保存無線分析配置  31113.9  無線網絡安全  31113.9.1  成功的WEP認證  31213.9.2  失敗的WEP認證  31313.9.3  成功的WPA認證  31413.9.4  失敗的WPA認證  31613.10  小結  318附錄A  延伸閱讀  319附錄B  分析數據包結構  325

作者介紹

Chris Sanders是一名計算機安全咨詢顧問、作家和研究人員。他還是一名SANS導師，持有CISSP、GCIA、GCIH、GREM等行業證書，並定期在WindowsSecurity.網站和自己的博客ChrisSanders.org發表文章。Sanders每天都會使用Wireshark進行數據包分析。他目前居住在美國南卡羅米納州查爾斯頓，以國 防承包商的身份工作。

序言