Wireshark數(shù)據(jù)包分析實(shí)戰(zhàn) 第3版
定 價(jià):79 元
- 作者:[美] 克里斯·桑德斯(Chris Sanders) 著,諸葛建偉,陸宇翔,曾皓辰 譯
- 出版時(shí)間:2018/12/1
- ISBN:9787115494313
- 出 版 社:人民郵電出版社
- 中圖法分類:O212.1-39
- 頁碼:332
- 紙張:
- 版次:01
- 開本:16開
Wireshark是流行的網(wǎng)絡(luò)嗅探軟件,《Wireshark數(shù)據(jù)包分析實(shí)戰(zhàn)(第3版)》在上一版的基礎(chǔ)上針對Wireshark 2.0.5和IPv6進(jìn)行了更新,并通過大量真實(shí)的案例對Wireshark的使用進(jìn)行了詳細(xì)講解,旨在幫助讀者理解Wireshark捕獲的PCAP格式的數(shù)據(jù)包,以便對網(wǎng)絡(luò)中的問題進(jìn)行排錯(cuò)。
《Wireshark數(shù)據(jù)包分析實(shí)戰(zhàn)(第3版)》共13章,從數(shù)據(jù)包分析與數(shù)據(jù)包嗅探器的基礎(chǔ)知識(shí)開始,循序漸進(jìn)地介紹Wireshark的基本使用方法及其數(shù)據(jù)包分析功能特性,同時(shí)還介紹了針對不同協(xié)議層與無線網(wǎng)絡(luò)的具體實(shí)踐技術(shù)與經(jīng)驗(yàn)技巧。在此過程中,作者結(jié)合大量真實(shí)的案例,圖文并茂地演示使用Wireshark進(jìn)行數(shù)據(jù)包分析的技術(shù)方法,使讀者能夠順著本書思路逐步掌握網(wǎng)絡(luò)數(shù)據(jù)包嗅探與分析技能。附錄部分列舉了數(shù)據(jù)包分析工具,以及其他數(shù)據(jù)包分析的學(xué)習(xí)資源,并對數(shù)據(jù)包的表現(xiàn)形式展開討論,介紹如何使用數(shù)據(jù)包結(jié)構(gòu)圖查看和表示數(shù)據(jù)包。
《Wireshark數(shù)據(jù)包分析實(shí)戰(zhàn)(第3版)》適合網(wǎng)絡(luò)協(xié)議開發(fā)人員、網(wǎng)絡(luò)管理與維護(hù)人員、“不懷好意的”的黑客、選修網(wǎng)絡(luò)課程的高校學(xué)生閱讀。
適讀人群 :網(wǎng)絡(luò)協(xié)議開發(fā)人員、網(wǎng)絡(luò)管理與維護(hù)人員、“不懷好意的”的黑客、選修網(wǎng)絡(luò)課程的高校學(xué)生閱讀。
借助 Wireshark 這款世界流行的網(wǎng)絡(luò)嗅探器,不管是有線網(wǎng)絡(luò)還是無線網(wǎng)絡(luò),讀者都可以很容易地捕獲到網(wǎng)絡(luò)中的數(shù)據(jù)包。但是,如何使用這些數(shù)據(jù)包來理解網(wǎng)絡(luò)狀況呢?
本書內(nèi)容針對 Wireshark 2.x 版本進(jìn)行了更新,以幫助讀者掌握數(shù)據(jù)包捕獲的方法,從而更好地解決網(wǎng)絡(luò)問題。本書新增了 IPv6 和 SMTP 的相關(guān)知識(shí),并討論了 TShark 和 Tcpdump 兩種命令行包分析工具的使用方法。此外,本書還介紹了使用數(shù)據(jù)包結(jié)構(gòu)圖查看和表示數(shù)據(jù)包的內(nèi)容。
您將學(xué)到:
實(shí)時(shí)監(jiān)控網(wǎng)絡(luò),并參與實(shí)時(shí)網(wǎng)絡(luò)通信;
構(gòu)建自定義的捕獲過濾器和顯示過濾器;
使用包分析來解決常見的網(wǎng)絡(luò)問題,如連接丟失、DNS問題和網(wǎng)絡(luò)性能緩慢等;
在數(shù)據(jù)包級別探索現(xiàn)代漏洞和惡意軟件;
從捕獲的數(shù)據(jù)包中提取通過網(wǎng)絡(luò)發(fā)送的文件;
繪制流量模式使網(wǎng)絡(luò)中傳輸?shù)臄?shù)據(jù)可視化;
使用Wireshark高 級特性來理解令人困惑的捕獲文件;
構(gòu)建統(tǒng)計(jì)數(shù)據(jù)和報(bào)告,以便更好地向非技術(shù)人員解釋技術(shù)性的網(wǎng)絡(luò)信息。
無論是初學(xué)者還是有一定經(jīng)驗(yàn)的網(wǎng)絡(luò)技術(shù)人員,都將通過本書學(xué)會(huì)如何使用 Wireshark 完成網(wǎng)絡(luò)任務(wù),從而更加深入地理解網(wǎng)絡(luò)概念。
本書內(nèi)容豐富,設(shè)計(jì)巧妙又通俗易懂。老實(shí)說,這本數(shù)據(jù)包分析的圖書讓我倍感興奮。
—TechRepublic
強(qiáng)烈建議初級網(wǎng)絡(luò)分析師、軟件開發(fā)人員和剛剛?cè)〉肅SE/CISSP等認(rèn)證的人員閱讀本書。讀完本書后,你們只需要卷起袖子,就可以動(dòng)手排除網(wǎng)絡(luò)(和安全)問題了。
—Gunter Ollmann, IOActive前首 席技術(shù)官
下一次再排查網(wǎng)絡(luò)變慢的問題時(shí),我將求助本書。對任何技術(shù)圖書來說,這或許是我能給的好的評價(jià)。
—Michael W. Lucas,Absolute FreeBSD and Network Flow Analysis作者
無論你負(fù)責(zé)多大規(guī)模的網(wǎng)絡(luò)管理,本書都必不可少。
—Linux Pro Magazine
本書寫作精良、簡單易用、格式良好,相當(dāng)實(shí)用。
—ArsGeek.com
如果你想要熟練掌握數(shù)據(jù)包分析的基本知識(shí),那么本書是一個(gè)不錯(cuò)的選擇。
—State Of Security
本書內(nèi)容豐富,緊扣“實(shí)戰(zhàn)”主題。它向讀者提供了進(jìn)行數(shù)據(jù)包分析所需的信息,并借助于真實(shí)的實(shí)例演示了Wirshark的用途。
—LinuxSecurity.com
網(wǎng)絡(luò)中有未知的主機(jī)之間在互相通信嗎? 我的機(jī)器正在與陌生的主機(jī)通信嗎? 你只需要一個(gè)數(shù)據(jù)包嗅探器就可以找到這些問題的答案,Wireshark是完成這項(xiàng)工作的工具之一,而本書是了解該工具的方法之一。
—Free Software Magazine
本書是數(shù)據(jù)包分析初學(xué)者和進(jìn)階者的理想之選。
—D
Chris Sanders是一名計(jì)算機(jī)安全咨詢顧問、作家和研究人員。他還是一名SANS導(dǎo)師,持有CISSP、GCIA、GCIH、GREM等行業(yè)證書,并定期在WindowsSecurity.com網(wǎng)站和自己的博客ChrisSanders.org發(fā)表文章。Sanders每天都會(huì)使用Wireshark進(jìn)行數(shù)據(jù)包分析。他目前居住在美國南卡羅米納州查爾斯頓,以國 防承包商的身份工作。
第 1章 數(shù)據(jù)包分析技術(shù)與網(wǎng)絡(luò)基礎(chǔ)\t1
1.1 數(shù)據(jù)包分析與數(shù)據(jù)包嗅探器 2
1.1.1 評估數(shù)據(jù)包嗅探器 2
1.1.2 數(shù)據(jù)包嗅探器工作過程 3
1.2 網(wǎng)絡(luò)通信原理 4
1.2.1 協(xié)議 4
1.2.2 七層OSI參考模型 5
1.2.3 OSI參考模型中的數(shù)據(jù)流向 7
1.2.4 數(shù)據(jù)封裝 8
1.2.5 網(wǎng)絡(luò)硬件 11
1.3 流量分類 16
1.3.1 廣播流量 16
1.3.2 組播流量 17
1.3.3 單播流量 17
1.4 小結(jié) 17
第 2章 監(jiān)聽網(wǎng)絡(luò)線路 18
2.1 混雜模式 19
2.2 在集線器連接網(wǎng)絡(luò)中嗅探 20
2.3 在交換式網(wǎng)絡(luò)中進(jìn)行嗅探 22
2.3.1 端口鏡像 22
2.3.2 集線器輸出 24
2.3.3 使用網(wǎng)絡(luò)分流器 26
2.3.4 ARP緩存污染 28
2.4 在路由網(wǎng)絡(luò)環(huán)境中進(jìn)行嗅探 33
2.5 部署嗅探器的實(shí)踐指南 35
第3章 Wireshark入門 37
3.1 Wireshark簡史 37
3.2 Wireshark的優(yōu)點(diǎn) 38
3.3 安裝Wireshark 39
3.3.1 在微軟Windows系統(tǒng)中安裝 40
3.3.2 在Linux系統(tǒng)中安裝 41
3.3.3 在Mac OS X系統(tǒng)中安裝 43
3.4 Wireshark初步入門 44
3.4.1 第 一次捕獲數(shù)據(jù)包 44
3.4.2 Wireshark主窗口 45
3.4.3 Wireshark首選項(xiàng) 46
3.4.4 數(shù)據(jù)包彩色高亮 48
3.4.5 配置文件 50
3.4.6 配置方案 51
第4章 玩轉(zhuǎn)捕獲數(shù)據(jù)包 53
4.1 使用捕獲文件 53
4.1.1 保存和導(dǎo)出捕獲文件 54
4.1.2 合并捕獲文件 55
4.2 分析數(shù)據(jù)包 56
4.2.1 保存和導(dǎo)出捕獲文件 56
4.2.2 標(biāo)記數(shù)據(jù)包 57
4.2.3 打印數(shù)據(jù)包 58
4.3 設(shè)定時(shí)間顯示格式和相對參考 59
4.3.1 時(shí)間顯示格式 59
4.3.2 數(shù)據(jù)包的相對時(shí)間參考 60
4.3.3 時(shí)間偏移 61
4.4 設(shè)定捕獲選項(xiàng) 61
4.4.1 輸入標(biāo)簽頁 61
4.4.2 輸出標(biāo)簽頁 62
4.4.3 選項(xiàng)標(biāo)簽頁 64
4.5 過濾器 65
4.5.1 捕獲過濾器 65
4.5.2 顯示過濾器 71
4.5.3 保存過濾器規(guī)則 75
4.5.4 在工具欄中增加顯示過濾器 76
第5章 Wireshark高級特性 77
5.1 端點(diǎn)和網(wǎng)絡(luò)會(huì)話 77
5.1.1 查看端點(diǎn)統(tǒng)計(jì) 78
5.1.2 查看網(wǎng)絡(luò)會(huì)話 79
5.1.3 使用端點(diǎn)和會(huì)話定位最高用量者 80
5.2 基于協(xié)議分層結(jié)構(gòu)的統(tǒng)計(jì) 83
5.3 名稱解析 84
5.3.1 開啟名稱解析 84
5.3.2 名稱解析的潛在弊端 86
5.3.3 使用自定義hosts文件 86
5.4 協(xié)議解析 88
5.4.1 更換解析器 88
5.4.2 查看解析器源代碼 90
5.5 流跟蹤 91
5.6 數(shù)據(jù)包長度 94
5.7 圖形展示 95
5.7.1 查看IO圖 95
5.7.2 雙向時(shí)間圖 98
5.7.3 數(shù)據(jù)流圖 99
5.8 專家信息 100
第6章 用命令行分析數(shù)據(jù)包 103
6.1 安裝TShark 104
6.2 安裝Tcpdump 105
6.3 捕獲和保存流量 106
6.4 控制輸出 108
6.5 名稱解析 111
6.6 應(yīng)用過濾器 112
6.7 TShark里的時(shí)間顯示格式 114
6.8 TShark中的總結(jié)統(tǒng)計(jì) 114
6.9 TShark VS Tcpdump 117
第7章 網(wǎng)絡(luò)層協(xié)議 119
7.1 地址解析協(xié)議 120
7.1.1 ARP頭 121
7.1.2 數(shù)據(jù)包1:ARP請求 122
7.1.3 數(shù)據(jù)包2:ARP響應(yīng) 123
7.1.4 Gratuitous ARP 124
7.2 互聯(lián)網(wǎng)協(xié)議 125
7.2.1 互聯(lián)網(wǎng)協(xié)議第4版(IPv4) 125
7.2.2 互聯(lián)網(wǎng)協(xié)議第6版(IPv6) 133
7.3 互聯(lián)網(wǎng)控制消息協(xié)議 144
7.3.1 ICMP頭 144
7.3.2 ICMP類型和消息 145
7.3.3 Echo請求與響應(yīng) 145
7.3.4 路由跟蹤 148
7.3.5 ICMP第6版(ICMPv6) 150
第8章 傳輸層協(xié)議 151
8.1 傳輸控制協(xié)議(TCP) 151
8.1.1 TCP報(bào)頭 152
8.1.2 TCP端口 153
8.1.3 TCP的三次握手 155
8.1.4 TCP鏈接斷開 158
8.1.5 TCP重置 160
8.2 用戶數(shù)據(jù)報(bào)協(xié)議 161
第9章 常見高層網(wǎng)絡(luò)協(xié)議 163
9.1 動(dòng)態(tài)主機(jī)配置協(xié)議DHCP 163
9.1.1 DHCP頭結(jié)構(gòu) 164
9.1.2 DHCP續(xù)租過程 165
9.1.3 DHCP租約內(nèi)續(xù)租 170
9.1.4 DHCP選項(xiàng)和消息類型 171
9.1.5 DHCP Version6 (DHCPv6) 171
9.2 域名系統(tǒng) 173
9.2.1 DNS數(shù)據(jù)包結(jié)構(gòu) 174
9.2.2 一次簡單的DNS查詢過程 175
9.2.3 DNS問題類型 177
9.2.4 DNS遞歸 177
9.2.5 DNS區(qū)域傳送 181
9.3 超文本傳輸協(xié)議 184
9.3.1 使用HTTP瀏覽 184
9.3.2 使用HTTP傳送數(shù)據(jù) 186
9.4 簡單郵件傳輸協(xié)議(SMTP) 188
9.4.1 收發(fā)郵件 188
9.4.2 跟蹤一封電子郵件 190
9.4.3 使用SMTP發(fā)送附件 197
9.5 小結(jié) 199
第 10章 基礎(chǔ)的現(xiàn)實(shí)世界場景 200
10.1 丟失的網(wǎng)頁內(nèi)容 201
10.1.1 偵聽線路 201
10.1.2 分析 202
10.1.3 學(xué)到的知識(shí) 206
10.2 無響應(yīng)的氣象服務(wù) 206
10.2.1 偵聽線路 207
10.2.2 分析 208
10.2.3 學(xué)到的知識(shí) 211
10.3 無法訪問Internet 211
10.3.1 網(wǎng)關(guān)配置問題 212
10.3.2 意外重定向 215
10.3.3 上游問題 218
10.4 打印機(jī)故障 221
10.4.1 偵聽線路 221
10.4.2 分析 221
10.4.3 學(xué)到的知識(shí) 224
10.5 分公司之困 224
10.5.1 偵聽線路 225
10.5.2 分析 225
10.5.3 學(xué)到的知識(shí) 228
10.6 生氣的開發(fā)者 228
10.6.1 偵聽線路 228
10.6.2 分析 229
10.6.3 學(xué)到的知識(shí) 232
10.7 結(jié)語 232
第 11章 讓網(wǎng)絡(luò)不再卡 233
11.1 TCP的錯(cuò)誤恢復(fù)特性 234
11.1.1 TCP重傳 234
11.1.2 TCP重復(fù)確認(rèn)和快速重傳 237
11.2 TCP流控制 242
11.2.1 調(diào)整窗口大小 243
11.2.2 用零窗口通知停止數(shù)據(jù)流 244
11.2.3 TCP滑動(dòng)窗口實(shí)戰(zhàn) 245
11.3 從TCP錯(cuò)誤控制和流量控制中學(xué)到的 249
11.4 定位高延遲的原因 250
11.4.1 正常通信 250
11.4.2 慢速通信—線路延遲 251
11.4.3 通信緩慢—客戶端延遲 252
11.4.4 通信緩慢—服務(wù)器延遲 253
11.4.5 延遲定位框架 253
11.5 網(wǎng)絡(luò)基線 254
11.5.1 站點(diǎn)基線 255
11.5.2 主機(jī)基線 256
11.5.3 應(yīng)用程序基線 257
11.5.4 基線的其他注意事項(xiàng) 257
11.6 小結(jié) 258
第 12章 安全領(lǐng)域的數(shù)據(jù)包分析 259
12.1 網(wǎng)絡(luò)偵察 260
12.1.1 SYN掃描 260
12.1.2 操作系統(tǒng)指紋 265
12.2 流量操縱 268
12.2.1 ARP緩存污染攻擊 268
12.2.2 會(huì)話劫持 273
12.3 漏洞利用 276
12.3.1 極光行動(dòng) 277
12.3.2 遠(yuǎn)程訪問特洛伊木馬 283
12.4 漏洞利用工具包和勒索軟件 290
12.5 小結(jié) 296
第 13章 無線網(wǎng)絡(luò)數(shù)據(jù)包分析 297
13.1 物理因素 297
13.1.1 一次嗅探一個(gè)信道 298
13.1.2 無線信號(hào)干擾 299
13.1.3 檢測和分析信號(hào)干擾 299
13.2 無線網(wǎng)卡模式 300
13.3 在Windows上嗅探無線網(wǎng)絡(luò) 302
13.3.1 配置AirPcap 302
13.3.2 使用AirPcap捕獲流量 303
13.4 在Linux上嗅探無線網(wǎng)絡(luò) 304
13.5 802.11數(shù)據(jù)包結(jié)構(gòu) 306
13.6 在Packet List面板增加無線專用列 307
13.7 無線專用過濾器 308
13.7.1 篩選特定BSS ID的流量 309
13.7.2 篩選特定的無線數(shù)據(jù)包類型 309
13.7.3 篩選特定頻率 310
13.8 保存無線分析配置 311
13.9 無線網(wǎng)絡(luò)安全 311
13.9.1 成功的WEP認(rèn)證 312
13.9.2 失敗的WEP認(rèn)證 313
13.9.3 成功的WPA認(rèn)證 314
13.9.4 失敗的WPA認(rèn)證 316
13.10 小結(jié) 318
附錄A 延伸閱讀 319
附錄B 分析數(shù)據(jù)包結(jié)構(gòu) 325