Wireshark數(shù)據(jù)包分析實(shí)戰(zhàn)（第3版）

第 1章　數(shù)據(jù)包分析技術(shù)與網(wǎng)絡(luò)基礎(chǔ)\t1
1．1　數(shù)據(jù)包分析與數(shù)據(jù)包嗅探器　2
1．1．1　評(píng)估數(shù)據(jù)包嗅探器　2
1．1．2　數(shù)據(jù)包嗅探器工作過(guò)程　3
1．2　網(wǎng)絡(luò)通信原理　4
1．2．1　協(xié)議　4
1．2．2　七層OSI參考模型　5
1．2．3　OSI參考模型中的數(shù)據(jù)流向　7
1．2．4　數(shù)據(jù)封裝　8
1．2．5　網(wǎng)絡(luò)硬件　11
1．3　流量分類(lèi)　16
1．3．1　廣播流量　16
1．3．2　組播流量　17
1．3．3　單播流量　17
1．4　小結(jié)　17
第　2章 監(jiān)聽(tīng)網(wǎng)絡(luò)線(xiàn)路　18
2．1　混雜模式　19
2．2　在集線(xiàn)器連接網(wǎng)絡(luò)中嗅探　20
2．3　在交換式網(wǎng)絡(luò)中進(jìn)行嗅探　22
2．3．1　端口鏡像　22
2．3．2　集線(xiàn)器輸出　24
2．3．3　使用網(wǎng)絡(luò)分流器　26
2．3．4　ARP緩存污染　28
2．4　在路由網(wǎng)絡(luò)環(huán)境中進(jìn)行嗅探　33
2．5　部署嗅探器的實(shí)踐指南　35
第3章　Wireshark入門(mén)　37
3．1　Wireshark簡(jiǎn)史　37
3．2　Wireshark的優(yōu)點(diǎn)　38
3．3　安裝Wireshark　39
3．3．1　在微軟Windows系統(tǒng)中安裝　40
3．3．2　在Linux系統(tǒng)中安裝　41
3．3．3　在Mac OS X系統(tǒng)中安裝　43
3．4　Wireshark初步入門(mén)　44
3．4．1　第 一次捕獲數(shù)據(jù)包　44
3．4．2　Wireshark主窗口　45
3．4．3　Wireshark首選項(xiàng)　46
3．4．4　數(shù)據(jù)包彩色高亮　48
3．4．5　配置文件　50
3．4．6　配置方案　51
第4章　玩轉(zhuǎn)捕獲數(shù)據(jù)包　53
4．1　使用捕獲文件　53
4．1．1　保存和導(dǎo)出捕獲文件　54
4．1．2　合并捕獲文件　55
4．2　分析數(shù)據(jù)包　56
4．2．1　保存和導(dǎo)出捕獲文件　56
4．2．2　標(biāo)記數(shù)據(jù)包　57
4．2．3　打印數(shù)據(jù)包　58
4．3　設(shè)定時(shí)間顯示格式和相對(duì)參考　59
4．3．1　時(shí)間顯示格式　59
4．3．2　數(shù)據(jù)包的相對(duì)時(shí)間參考　60
4．3．3　時(shí)間偏移　61
4．4　設(shè)定捕獲選項(xiàng)　61
4．4．1　輸入標(biāo)簽頁(yè)　61
4．4．2　輸出標(biāo)簽頁(yè)　62
4．4．3　選項(xiàng)標(biāo)簽頁(yè)　64
4．5　過(guò)濾器　65
4．5．1　捕獲過(guò)濾器　65
4．5．2　顯示過(guò)濾器　71
4．5．3　保存過(guò)濾器規(guī)則　75
4．5．4　在工具欄中增加顯示過(guò)濾器　76
第5章　Wireshark高級(jí)特性　77
5．1　端點(diǎn)和網(wǎng)絡(luò)會(huì)話(huà)　77
5．1．1　查看端點(diǎn)統(tǒng)計(jì)　78
5．1．2　查看網(wǎng)絡(luò)會(huì)話(huà)　79
5．1．3　使用端點(diǎn)和會(huì)話(huà)定位最高用量者　80
5．2　基于協(xié)議分層結(jié)構(gòu)的統(tǒng)計(jì)　83
5．3　名稱(chēng)解析　84
5．3．1　開(kāi)啟名稱(chēng)解析　84
5．3．2　名稱(chēng)解析的潛在弊端　86
5．3．3　使用自定義hosts文件　86
5．4　協(xié)議解析　88
5．4．1　更換解析器　88
5．4．2　查看解析器源代碼　90
5．5　流跟蹤　91
5．6　數(shù)據(jù)包長(zhǎng)度　94
5．7　圖形展示　95
5．7．1　查看IO圖　95
5．7．2　雙向時(shí)間圖　98
5．7．3　數(shù)據(jù)流圖　99
5．8　專(zhuān)家信息　100
第6章　用命令行分析數(shù)據(jù)包　103
6．1　安裝TShark　104
6．2　安裝Tcpdump　105
6．3　捕獲和保存流量　106
6．4　控制輸出　108
6．5　名稱(chēng)解析　111
6．6　應(yīng)用過(guò)濾器　112
6．7　TShark里的時(shí)間顯示格式　114
6．8　TShark中的總結(jié)統(tǒng)計(jì)　114
6．9　TShark VS Tcpdump　117
第7章　網(wǎng)絡(luò)層協(xié)議　119
7．1　地址解析協(xié)議　120
7．1．1　ARP頭　121
7．1．2　數(shù)據(jù)包1：ARP請(qǐng)求　122
7．1．3　數(shù)據(jù)包2：ARP響應(yīng)　123
7．1．4　Gratuitous ARP　124
7．2　互聯(lián)網(wǎng)協(xié)議　125
7．2．1　互聯(lián)網(wǎng)協(xié)議第4版（IPv4）　125
7．2．2　互聯(lián)網(wǎng)協(xié)議第6版（IPv6）　133
7．3　互聯(lián)網(wǎng)控制消息協(xié)議　144
7．3．1　ICMP頭　144
7．3．2　ICMP類(lèi)型和消息　145
7．3．3　Echo請(qǐng)求與響應(yīng)　145
7．3．4　路由跟蹤　148
7．3．5　ICMP第6版（ICMPv6）　150
第8章　傳輸層協(xié)議　151
8．1　傳輸控制協(xié)議（TCP）　151
8．1．1　TCP報(bào)頭　152
8．1．2　TCP端口　153
8．1．3　TCP的三次握手　155
8．1．4　TCP鏈接斷開(kāi)　158
8．1．5　TCP重置　160
8．2　用戶(hù)數(shù)據(jù)報(bào)協(xié)議　161
第9章　常見(jiàn)高層網(wǎng)絡(luò)協(xié)議　163
9．1　動(dòng)態(tài)主機(jī)配置協(xié)議DHCP　163
9．1．1　DHCP頭結(jié)構(gòu)　164
9．1．2　DHCP續(xù)租過(guò)程　165
9．1．3　DHCP租約內(nèi)續(xù)租　170
9．1．4　DHCP選項(xiàng)和消息類(lèi)型　171
9．1．5　DHCP Version6 (DHCPv6)　171
9．2　域名系統(tǒng)　173
9．2．1　DNS數(shù)據(jù)包結(jié)構(gòu)　174
9．2．2　一次簡(jiǎn)單的DNS查詢(xún)過(guò)程　175
9．2．3　DNS問(wèn)題類(lèi)型　177
9．2．4　DNS遞歸　177
9．2．5　DNS區(qū)域傳送　181
9．3　超文本傳輸協(xié)議　184
9．3．1　使用HTTP瀏覽　184
9．3．2　使用HTTP傳送數(shù)據(jù)　186
9．4　簡(jiǎn)單郵件傳輸協(xié)議（SMTP）　188
9．4．1　收發(fā)郵件　188
9．4．2　跟蹤一封電子郵件　190
9．4．3　使用SMTP發(fā)送附件　197
9．5　小結(jié)　199
第　10章 基礎(chǔ)的現(xiàn)實(shí)世界場(chǎng)景　200
10．1　丟失的網(wǎng)頁(yè)內(nèi)容　201
10．1．1　偵聽(tīng)線(xiàn)路　201
10．1．2　分析　202
10．1．3　學(xué)到的知識(shí)　206
10．2　無(wú)響應(yīng)的氣象服務(wù)　206
10．2．1　偵聽(tīng)線(xiàn)路　207
10．2．2　分析　208
10．2．3　學(xué)到的知識(shí)　211
10．3　無(wú)法訪(fǎng)問(wèn)Internet　211
10．3．1　網(wǎng)關(guān)配置問(wèn)題　212
10．3．2　意外重定向　215
10．3．3　上游問(wèn)題　218
10．4　打印機(jī)故障　221
10．4．1　偵聽(tīng)線(xiàn)路　221
10．4．2　分析　221
10．4．3　學(xué)到的知識(shí)　224
10．5　分公司之困　224
10．5．1　偵聽(tīng)線(xiàn)路　225
10．5．2　分析　225
10．5．3　學(xué)到的知識(shí)　228
10．6　生氣的開(kāi)發(fā)者　228
10．6．1　偵聽(tīng)線(xiàn)路　228
10．6．2　分析　229
10．6．3　學(xué)到的知識(shí)　232
10．7　結(jié)語(yǔ)　232
第　11章 讓網(wǎng)絡(luò)不再卡　233
11．1　TCP的錯(cuò)誤恢復(fù)特性　234
11．1．1　TCP重傳　234
11．1．2　TCP重復(fù)確認(rèn)和快速重傳　237
11．2　TCP流控制　242
11．2．1　調(diào)整窗口大小　243
11．2．2　用零窗口通知停止數(shù)據(jù)流　244
11．2．3　TCP滑動(dòng)窗口實(shí)戰(zhàn)　245
11．3　從TCP錯(cuò)誤控制和流量控制中學(xué)到的　249
11．4　定位高延遲的原因　250
11．4．1　正常通信　250
11．4．2　慢速通信—線(xiàn)路延遲　251
11．4．3　通信緩慢—客戶(hù)端延遲　252
11．4．4　通信緩慢—服務(wù)器延遲　253
11．4．5　延遲定位框架　253
11．5　網(wǎng)絡(luò)基線(xiàn)　254
11．5．1　站點(diǎn)基線(xiàn)　255
11．5．2　主機(jī)基線(xiàn)　256
11．5．3　應(yīng)用程序基線(xiàn)　257
11．5．4　基線(xiàn)的其他注意事項(xiàng)　257
11．6　小結(jié)　258
第　12章 安全領(lǐng)域的數(shù)據(jù)包分析　259
12．1　網(wǎng)絡(luò)偵察　260
12．1．1　SYN掃描　260
12．1．2　操作系統(tǒng)指紋　265
12．2　流量操縱　268
12．2．1　ARP緩存污染攻擊　268
12．2．2　會(huì)話(huà)劫持　273
12．3　漏洞利用　276
12．3．1　極光行動(dòng)　277
12．3．2　遠(yuǎn)程訪(fǎng)問(wèn)特洛伊木馬　283
12．4　漏洞利用工具包和勒索軟件　290
12．5　小結(jié)　296
第　13章 無(wú)線(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包分析　297
13．1　物理因素　297
13．1．1　一次嗅探一個(gè)信道　298
13．1．2　無(wú)線(xiàn)信號(hào)干擾　299
13．1．3　檢測(cè)和分析信號(hào)干擾　299
13．2　無(wú)線(xiàn)網(wǎng)卡模式　300
13．3　在Windows上嗅探無(wú)線(xiàn)網(wǎng)絡(luò)　302
13．3．1　配置AirPcap　302
13．3．2　使用AirPcap捕獲流量　303
13．4　在Linux上嗅探無(wú)線(xiàn)網(wǎng)絡(luò)　304
13．5　802．11數(shù)據(jù)包結(jié)構(gòu)　306
13．6　在Packet List面板增加無(wú)線(xiàn)專(zhuān)用列　307
13．7　無(wú)線(xiàn)專(zhuān)用過(guò)濾器　308
13．7．1　篩選特定BSS ID的流量　309
13．7．2　篩選特定的無(wú)線(xiàn)數(shù)據(jù)包類(lèi)型　309
13．7．3　篩選特定頻率　310
13．8　保存無(wú)線(xiàn)分析配置　311
13．9　無(wú)線(xiàn)網(wǎng)絡(luò)安全　311
13．9．1　成功的WEP認(rèn)證　312
13．9．2　失敗的WEP認(rèn)證　313
13．9．3　成功的WPA認(rèn)證　314
13．9．4　失敗的WPA認(rèn)證　316
13．10　小結(jié)　318
附錄A　延伸閱讀　319
附錄B　分析數(shù)據(jù)包結(jié)構(gòu)　325