![](/c49/99/10029243359525.jpg)
店鋪:遼寧音像出版社圖書專營店 出版社:人民郵電出版社 ISBN:9787115494313 商品編碼:10029243359525 包裝:平裝 出版時間:2018-11-01 作者:克裡斯·桑德斯(Chri
"基本信息 書名:WIRESHARK數據包分析實戰 定價 作者:[美]克裡斯·桑德斯(Chris Sanders) 出版社:人民郵電出版社 出版日期:2018-11-01 ISBN:9787115494313 字數:448000 頁碼:332 版次:1 裝幀:平裝 開本:16開 商品重量: 編輯推薦
借助 Wireshark 這款世界流行的網絡器,不管是有線網絡還是無線網絡,讀者都可以很容易地捕獲到網絡中的數據包。但是,如何使用這些數據包來理解網絡狀況呢?本書內容針對 Wireshark 2.x 版本進行了更新,以幫助讀者掌握數據包捕獲的方法,從而更好地解決網絡問題。本書新增了 IPv6 和 SMTP 的相關知識,並討論了 TShark 和 Tcpdump 兩種命令行包分析工具的使用方法。此外,本書還介紹了使用數據包結構圖查看和表示數據包的內容。您將學到: 實時監控網絡,並參與實時網絡通信; 構建自定義的捕獲過濾器和顯示過濾器; 使用包分析來解決常見的網絡問題,如連接丟失、DNS問題和網絡性能緩慢等; 在數據包級別探索現代漏洞和惡意軟件; 從捕獲的數據包中提取通過網絡發送的文件; 繪制流量模式使網絡中傳輸的數據可視化; 使用Wireshark高 級特性來理解令人困惑的捕獲文件; 構建統計數據和報告,以便更好地向非技術人員解釋技術性的網絡信息。無論是初學者還是有經驗的網絡技術人員,都將通過本書學會如何使用 Wireshark 完成網絡任務,從而更加深入地理解網絡概念。本書內容豐富,設計巧妙又通俗易懂。老實說,這本數據包分析的圖書讓我倍感興奮。—TechRepublic強烈建議初級網絡分析師、軟件開發人員和剛剛取得CSE/CISSP等認證的人員閱讀本書。讀完本書後,你們隻需要卷起袖子,就可以動手排除網絡(和安全)問題了。—Gunter Ollmann, IOActive前首 席技術官下一次再排查網絡變慢的問題時,我將求助本書。對任何技術圖書來說,這或許是我能給的好的評價。—Michael W. Lucas,Absolute FreeBSD and Network Flow Analysis作者無論你負責多大規模的網絡管理,本書都必不可少。—Linux Pro Magazine本書寫作精良、簡單易用、格式良好,相當實用。—ArsGeek.如果你想要熟練掌握數據包分析的基本知識,那麼本書是一個不錯的選擇。—State Of Security本書內容豐富,緊扣“實戰”主題。它向讀者提供了進行數據包分析所需的信息,並借助於真實的實例演示了Wirshark的用途。—LinuxSecurity.網絡中有未知的主機之間在互相通信? 我的機器正在與陌生的主機通信? 你隻需要一個數據包器就可以找到這些問題的答案,Wireshark是完成這項工作的工具之一,而本書是了解該工具的方法之一。—Free Software Magazine本書是數據包分析初學者和進階者的理想之選。—D 內容提要
Wireshark是流行的網絡軟件,《Wireshark數據包分析實戰(第3版)》在上一版的基礎上針對Wireshark 2.0.5和IPv6進行了更新,並通過大量真實的案例對Wireshark的使用進行了詳細講解,旨在幫助讀者理解Wireshark捕獲的PCAP格式的數據包,以便對網絡中的問題進行排錯。《Wireshark數據包分析實戰(第3版)》共13章,從數據包分析與數據包器的基礎知識開始,循序漸進地介紹Wireshark的基本使用方法及其數據包分析功能特性,同時還介紹了針對不同協議層與無線網絡的具體實踐技術與經驗技巧。在此過程中,作者結合大量真實的案例,圖文並茂地演示使用Wireshark進行數據包分析的技術方法,使讀者能夠順著本書思路逐步掌握網絡數據包與分析技能。附錄部分列舉了數據包分析工具,以及其他數據包分析的學習資源,並對數據包的表現形式展開討論,介紹如何使用數據包結構圖查看和表示數據包。《Wireshark數據包分析實戰(第3版)》適合網絡協議開發人員、網絡管理與維護人員、“不懷好意的”的黑客、選修網絡課程的高校學生閱讀。 目錄
第 1章 數據包分析技術與網絡基礎11.1 數據包分析與數據包器 21.1.1 評估數據包器 21.1.2 數據包器工作過程 31.2 網絡通信原理 41.2.1 協議 41.2.2 七層OSI參考模型 51.2.3 OSI參考模型中的數據流向 71.2.4 數據封裝 81.2.5 網絡硬件 111.3 流量分類 161.3.1 廣播流量 161.3.2 組播流量 171.3.3 單播流量 171.4 小結 17第 2章 監聽網絡線路 182.1 混雜模式 192.2 在集線器連接網絡中 202.3 在交換式網絡中進行 222.3.1 端口鏡像 222.3.2 集線器輸出 242.3.3 使用網絡分流器 262.3.4 ARP緩存污染 282.4 在路由網絡環境中進行 332.5 部署器的實踐指南 35第3章 Wireshark入門 373.1 Wireshark簡史 373.2 Wireshark的優點 383.3 安裝Wireshark 393.3.1 在微軟Windows繫統中安裝 403.3.2 在Linux繫統中安裝 413.3.3 在Mac OS X繫統中安裝 433.4 Wireshark初步入門 443.4.1 第 一次捕獲數據包 443.4.2 Wireshark主窗口 453.4.3 Wireshark項 463.4.4 數據包彩色高亮 483.4.5 配置文件 503.4.6 配置方案 51第4章 玩轉捕獲數據包 534.1 使用捕獲文件 534.1.1 保存和導出捕獲文件 544.1.2 合並捕獲文件 554.2 分析數據包 564.2.1 保存和導出捕獲文件 564.2.2 標記數據包 574.2.3 打印數據包 584.3 設定時間顯示格式和相對參考 594.3.1 時間顯示格式 594.3.2 數據包的相對時間參考 604.3.3 時間偏移 614.4 設定捕獲選項 614.4.1 輸入標簽頁 614.4.2 輸出標簽頁 624.4.3 選項標簽頁 644.5 過濾器 654.5.1 捕獲過濾器 654.5.2 顯示過濾器 714.5.3 保存過濾器規則 754.5.4 在工具欄中增加顯示過濾器 76第5章 Wireshark不錯特性 775.1 端點和網絡會話 775.1.1 查看端點統計 785.1.2 查看網絡會話 795.1.3 使用端點和會話定位用量者 805.2 基於協議分層結構的統計 835.3 名稱解析 845.3.1 開啟名稱解析 845.3.2 名稱解析的潛在弊端 865.3.3 使用自定義hosts文件 865.4 協議解析 885.4.1 更換解析器 885.4.2 查看解析器源代碼 905.5 流跟蹤 915.6 數據包長度 945.7 圖形展示 955.7.1 查看IO圖 955.7.2 雙向時間圖 985.7.3 數據流圖 995.8 專家信息 100第6章 用命令行分析數據包 1036.1 安裝TShark 1046.2 安裝Tcpdump 1056.3 捕獲和保存流量 1066.4 控制輸出 1086.5 名稱解析 1116.6 應用過濾器 1126.7 TShark裡的時間顯示格式 1146.8 TShark中的總結統計 1146.9 TShark VS Tcpdump 117第7章 網絡層協議 1197.1 地址解析協議 1207.1.1 ARP頭 1217.1.2 數據包1:ARP請求 1227.1.3 數據包2:ARP響應 1237.1.4 Gratuitous ARP 1247.2 互聯網協議 1257.2.1 互聯網協議第4版(IPv4) 1257.2.2 互聯網協議第6版(IPv6) 1337.3 互聯網控制消息協議 1447.3.1 ICMP頭 1447.3.2 ICMP類型和消息 1457.3.3 Echo請求與響應 1457.3.4 路由跟蹤 1487.3.5 ICMP第6版(ICMPv6) 150第8章 傳輸層協議 1518.1 傳輸控制協議(TCP) 1518.1.1 TCP報頭 1528.1.2 TCP端口 1538.1.3 TCP的三次握手 1558.1.4 TCP鏈接斷開 1588.1.5 TCP重置 1608.2 用戶數據報協議 161第9章 常見高層網絡協議 1639.1 動態主機配置協議DHCP 1639.1.1 DHCP頭結構 1649.1.2 DHCP續租過程 1659.1.3 DHCP租約內續租 1709.1.4 DHCP選項和消息類型 1719.1.5 DHCP Version6 (DHCPv6) 1719.2 域名繫統 1739.2.1 DNS數據包結構 1749.2.2 一次簡單的DNS查詢過程 1759.2.3 DNS問題類型 1779.2.4 DNS遞歸 1779.2.5 DNS區域傳送 1819.3 超文本傳輸協議 1849.3.1 使用瀏覽 1849.3.2 使用傳送數據 1869.4 簡單郵件傳輸協議(SMTP) 1889.4.1 收發郵件 1889.4.2 跟蹤一封電子郵件 1909.4.3 使用SMTP發送附件 1979.5 小結 199第 10章 基礎的現實世界場景 20010.1 丟失的網頁內容 20110.1.1 偵聽線路 20110.1.2 分析 20210.1.3 學到的知識 20610.2 無響應的氣像服務 20610.2.1 偵聽線路 20710.2.2 分析 20810.2.3 學到的知識 21110.3 無法訪問Inter 21110.3.1 網關配置問題 21210.3.2 意外重定向 21510.3.3 上遊問題 21810.4 打印機故障 22110.4.1 偵聽線路 22110.4.2 分析 22110.4.3 學到的知識 22410.5 分公司之困 22410.5.1 偵聽線路 22510.5.2 分析 22510.5.3 學到的知識 22810.6 生氣的開發者 22810.6.1 偵聽線路 22810.6.2 分析 22910.6.3 學到的知識 23210.7 結語 232第 11章 讓網絡不再卡 23311.1 TCP的錯誤恢復特性 23411.1.1 TCP重傳 23411.1.2 TCP重復確認和快速重傳 23711.2 TCP流控制 24211.2.1 調整窗口大小 24311.2.2 用零窗口通知停止數據流 24411.2.3 TCP滑動窗口實戰 24511.3 從TCP錯誤控制和流量控制中學到的 24911.4 定位高延遲的原因 25011.4.1 正常通信 25011.4.2 慢速通信—線路延遲 25111.4.3 通信緩慢—客戶端延遲 25211.4.4 通信緩慢—服務器延遲 25311.4.5 延遲定位框架 25311.5 網絡基線 25411.5.1 站點基線 25511.5.2 主機基線 25611.5.3 應用程序基線 25711.5.4 基線的其他注意事項 25711.6 小結 258第 12章 安全領域的數據包分析 25912.1 26012.1.1 SYN掃描 26012.1.2 操作繫統指紋 26512.2 流量操縱 26812.2.1 ARP緩存污染攻擊 26812.2.2 會話劫持 27312.3 漏洞利用 27612.3.1 極光行動 27712.3.2 遠程訪問特洛伊木馬 28312.4 漏洞利用工具包和勒索軟件 29012.5 小結 296第 13章 無線網絡數據包分析 29713.1 物理因素 29713.1.1 一次一個信道 29813.1.2 無線信號干擾 29913.1.3 檢測和分析信號干擾 29913.2 無線網卡模式 30013.3 在Windows上無線網絡 30213.3.1 配置AirPcap 30213.3.2 使用AirPcap捕獲流量 30313.4 在Linux上無線網絡 30413.5 802.11數據包結構 30613.6 在Packet List面板增加無線專用列 30713.7 無線專用過濾器 30813.7.1 篩選特定BSS ID的流量 30913.7.2 篩選特定的無線數據包類型 30913.7.3 篩選特定頻率 31013.8 保存無線分析配置 31113.9 無線網絡安全 31113.9.1 成功的WEP認證 31213.9.2 失敗的WEP認證 31313.9.3 成功的WPA認證 31413.9.4 失敗的WPA認證 31613.10 小結 318附錄A 延伸閱讀 319附錄B 分析數據包結構 325 作者介紹
Chris Sanders是一名計算機安全咨詢顧問、作家和研究人員。他還是一名SANS導師,持有CISSP、GCIA、GCIH、GREM等行業證書,並定期在WindowsSecurity.網站和自己的博客ChrisSanders.org發表文章。Sanders每天都會使用Wireshark進行數據包分析。他目前居住在美國南卡羅米納州查爾斯頓,以國 防承包商的身份工作。 序言
" |