Wireshark數據包分析實(shí)戰詳解簡(jiǎn)介，目錄書(shū)摘

　　通過(guò)80個(gè)實(shí)例，詳細講解了Wireshark數據包分析實(shí)施的8大類(lèi)技巧

　　基于Wireshark抓取的數據包，層層剝繭地剖析了12種常見(jiàn)網(wǎng)絡(luò )協(xié)議的構成
　　全面涵蓋Wireshark基礎知識和應用技巧，以及使用Wireshark對網(wǎng)絡(luò )協(xié)議進(jìn)行分析
　　遵循規范，從專(zhuān)業(yè)的角度循序漸進(jìn)地講解了Wireshark抓包及分析的實(shí)施流程
　　針對海量數據問(wèn)題，詳細講解了捕獲過(guò)濾器、顯示過(guò)濾器和著(zhù)色規則等專(zhuān)業(yè)技巧
　　以圖表結合的形式直觀(guān)地展示了協(xié)議報結構，幫助讀者快速掌握各種抽象的網(wǎng)絡(luò )協(xié)議
　　對抓取的數據包按照協(xié)議層次，逐層講解了各個(gè)協(xié)議在數據包中的體現

　　《Wireshark數據包分析實(shí)戰詳解》由淺入深，全面系統地介紹了Wireshark數據抓包和數據包分析。本書(shū)提供了大量實(shí)例，供讀者實(shí)戰演練Wireshark的各項功能。同時(shí)，對抓取的數據包按照協(xié)議層次，逐層講解各個(gè)協(xié)議在數據包中的體現。這樣，讀者就可以掌握數據包抓取到信息獲取的每個(gè)環(huán)節。
　　《Wireshark數據包分析實(shí)戰詳解》共分3篇。第1篇介紹Wireshark的各項功能，包括基礎知識、Wireshark的定制、捕獲過(guò)濾器和顯示過(guò)濾器的使用、數據包的著(zhù)色、導出和重組等；第2篇介紹基于Wireshark對TCP/IP協(xié)議族中常用協(xié)議的詳細分析，如ARP、IP、UDP、TCP、HTTP、HTTPS和FTP等；第3篇介紹借助Wireshark分析操作系統啟動(dòng)過(guò)程中的網(wǎng)絡(luò )通信情況。
　　《Wireshark數據包分析實(shí)戰詳解》涉及面廣，內容包括工具使用、網(wǎng)絡(luò )協(xié)議和應用。本書(shū)適合各類(lèi)讀者群體，如想全面學(xué)習Wireshark的初學(xué)者、網(wǎng)絡(luò )管理員、滲透測試人員及網(wǎng)絡(luò )安全專(zhuān)家等。對于網(wǎng)絡(luò )數據分析人士，本書(shū)更是一本不可多得的案頭必備參考書(shū)。
　　本書(shū)精華內容
　　Wireshark基礎知識
　　設置Wireshark視圖
　　捕獲過(guò)濾器技巧
　　顯示過(guò)濾器技巧
　　著(zhù)色規則和數據包導出
　　構建圖表
　　重組數據
　　添加注釋
　　捕獲、分割和合并數據
　　ARP協(xié)議抓包分析
　　互聯(lián)網(wǎng)協(xié)議（IP）抓包分析
　　UDP協(xié)議抓包分析
　　TCP協(xié)議抓包分析
　　ICMP協(xié)議抓包分析
　　DHCP數據抓包分析
　　DNS抓包分析
　　HTTP協(xié)議抓包分析
　　HTTPS協(xié)議抓包分析
　　FTP協(xié)議抓包分析
　　電子郵件抓包分析
　　操作系統啟動(dòng)過(guò)程抓包分析

　　王曉卉，本科畢業(yè)于渤海大學(xué)計算機科學(xué)與技術(shù)專(zhuān)業(yè)，碩士畢業(yè)于沈陽(yáng)航空航天大學(xué)計算機技術(shù)專(zhuān)業(yè)?，F任營(yíng)口職業(yè)技術(shù)學(xué)院計算機專(zhuān)業(yè)副教授。從事計算機教學(xué)與科研工作11年，專(zhuān)長(cháng)于計算機網(wǎng)絡(luò )和軟件應用。曾發(fā)表過(guò)省級以上的論文10余篇，主持和參與了多個(gè)省級項目的科研工作。

　　李亞偉，大學(xué)霸技術(shù)研究員。熟悉Apache、Tomcat、Oracle、MySQL、集群、RAC、SAN和容災等各種IT業(yè)界中流行的系統集成技術(shù)。長(cháng)期從事Linux和網(wǎng)絡(luò )安全全新技術(shù)的研究，以及Linux服務(wù)器維護工作，擁有多年的服務(wù)器維護經(jīng)驗。曾經(jīng)參與過(guò)多本Linux圖書(shū)的編寫(xiě)和技術(shù)測試。

第1篇  Wireshark應用篇
第1章  Wireshark的基礎知識
1.1  Wireshark的功能
1.1.1  Wireshark主窗口界面
1.1.2  Wireshark的作用
1.2  安裝Wireshark
1.2.1  獲取Wireshark
1.2.2  安裝Wireshark
1.3  Wireshark捕獲數據
1.4  認識數據包
1.5  捕獲HTTP包
1.6  訪(fǎng)問(wèn)Wireshark資源
1.7  Wireshark快速入門(mén)
1.8  分析網(wǎng)絡(luò )數據
1.8.1  分析Web瀏覽數據
1.8.2  分析后臺數據
1.9  打開(kāi)其他工具捕獲的文件
第2章  設置Wireshark視圖
2.1  設置Packet List面板列
2.1.1  添加列
2.1.2  隱藏、刪除、重新排序及編輯列
2.2  Wireshark分析器及Profile設置
2.2.1  Wireshark分析器
2.2.2  分析非標準端口號流量
2.2.3  設置Wireshark顯示的特定數據類(lèi)型
2.2.4  使用Profile定制Wireshark
2.2.5  查找關(guān)鍵的Wireshark Profile
2.3  數據包時(shí)間延遲
2.3.1  時(shí)間延遲
2.3.2  檢查延遲問(wèn)題
2.3.3  檢查時(shí)間差延遲問(wèn)題
第3章  捕獲過(guò)濾器技巧
3.1  捕獲過(guò)濾器簡(jiǎn)介
3.2  選擇捕獲位置
3.3  選擇捕獲接口
3.3.1  判斷哪個(gè)適配器上的數據
3.3.2  使用多適配器捕獲
3.4  捕獲以太網(wǎng)數據
3.5  捕獲無(wú)線(xiàn)數據
3.5.1  捕獲無(wú)線(xiàn)網(wǎng)絡(luò )數據的方式
3.5.2  使用AirPcap適配器
3.6  處理大數據
3.6.1  捕獲過(guò)濾器
3.6.2  捕獲文件集
3.7  處理隨機發(fā)生的問(wèn)題
3.8  捕獲基于MAC/IP地址數據
3.8.1  捕獲單個(gè)IP地址數據
3.8.2  捕獲IP地址范圍
3.8.3  捕獲廣播或多播地址數據
3.8.4  捕獲MAC地址數據
3.9  捕獲端口應用程序數據
3.9.1  捕獲所有端口號的數據
3.9.2  結合基于端口的捕獲過(guò)濾器
3.10  捕獲特定ICMP數據
第4章  顯示技巧
4.1  顯示過(guò)濾器簡(jiǎn)介
4.2  使用顯示過(guò)濾器
4.2.1  顯示過(guò)濾器語(yǔ)法
4.2.2  檢查語(yǔ)法錯誤
4.2.3  識別字段名
4.2.4  比較運算符
4.2.5  表達式過(guò)濾器
4.2.6  使用自動(dòng)補全功能
4.2.7  手動(dòng)添加顯示列
4.3  編輯和使用默認顯示過(guò)濾器
4.4  過(guò)濾顯示HTTP
4.5  過(guò)濾顯示DHCP
4.6  根據地址過(guò)濾顯示
4.6.1  顯示單個(gè)IP地址或主機數據
4.6.2  顯示一個(gè)地址范圍的數據
4.6.3  顯示一個(gè)子網(wǎng)IP的數據
4.7  過(guò)濾顯示單一的TCP/UDP會(huì )話(huà)
4.8  使用復雜表達式過(guò)濾
4.8.1  使用邏輯運算符
4.8.2  使用括號
4.8.3  使用關(guān)鍵字
4.8.4  使用通配符
4.9  發(fā)現通信延遲
4.9.1  時(shí)間過(guò)濾器（frame.time_delta）
4.9.2  基于TCP的時(shí)間過(guò)濾（tcp.time_delta）
4.10  設置顯示過(guò)濾器按鈕
4.10.1  創(chuàng )建顯示過(guò)濾器表達式按鈕
4.10.2  編輯、添加、刪除顯示過(guò)濾器按鈕
4.10.3  編輯preferences文件
第5章  著(zhù)色規則和數據包導出
5.1  認識著(zhù)色規則
5.2  禁用著(zhù)色規則
5.2.1  禁用指定類(lèi)型數據包彩色高亮
5.2.2  禁用所有包彩色高亮
5.3  創(chuàng )建用戶(hù)著(zhù)色規則
5.3.1  創(chuàng )建時(shí)間差著(zhù)色規則
5.3.2  快速查看FTP用戶(hù)名密碼著(zhù)色規則
5.3.3  創(chuàng )建單個(gè)會(huì )話(huà)著(zhù)色規則
5.4  導出數據包
5.4.1  導出顯示包
5.4.2  導出標記包   
5.4.3  導出包的詳細信息
第6章  構建圖表
6.1  數據統計表
6.1.1  端點(diǎn)統計
6.1.2  網(wǎng)絡(luò )會(huì )話(huà)統計
6.1.3  快速過(guò)濾會(huì )話(huà)
6.1.4  地圖化顯示端點(diǎn)統計信息
6.2  協(xié)議分層統計
6.3  圖表化顯示帶寬使用情況
6.3.1  認識IO Graph
6.3.2  應用顯示過(guò)濾器
6.4  專(zhuān)家信息
6.5  構建各種網(wǎng)絡(luò )錯誤圖表
6.5.1  構建所有TCP標志位包
6.5.2  構建單個(gè)TCP標志位包
第7章  重組數據
7.1  重組Web會(huì )話(huà)
7.1.1  重組Web瀏覽會(huì )話(huà)
7.1.2  導出HTTP對象
7.2  重組FTP會(huì )話(huà)
7.2.1  重組FTP數據
7.2.2  提取FTP傳輸的文件
第8章  添加注釋
8.1  捕獲文件注釋
8.2  包注釋
8.2.1  添加包注釋
8.2.2  查看包注釋
8.3  導出包注釋
8.3.1  使用Export Packet Dissections功能導出
8.3.2  使用復制功能導出包
第9章  捕獲、分割和合并數據
9.1  將大文件分割為文件集
9.1.1  添加Wireshark程序目錄到自己的位置
9.1.2  使用Capinfos獲取文件大小和包數
9.1.3  分割文件
9.2  合并多個(gè)捕獲文件
9.3  命令行捕獲數據
9.3.1  Dumpcap和Tshark工具
9.3.2  使用捕獲過(guò)濾器
9.3.3  使用顯示過(guò)濾器
9.4  導出字段值和統計信息
9.4.1  導出字段值
9.4.2  導出數據統計

第2篇  網(wǎng)絡(luò )協(xié)議分析篇
第10章  ARP協(xié)議抓包分析
10.1  ARP基礎知識
10.1.1  什么是ARP
10.1.2  ARP工作流程
10.1.3  ARP緩存表
10.2  捕獲ARP協(xié)議包
10.2.1  Wireshark位置
10.2.2  使用捕獲過(guò)濾器
10.3  分析ARP協(xié)議包
10.3.1  ARP報文格式
10.3.2  ARP請求包
10.3.3  ARP響應包
第11章  互聯(lián)網(wǎng)協(xié)議（IP）抓包分析
11.1  互聯(lián)網(wǎng)協(xié)議（IP）概述
11.1.1  互聯(lián)網(wǎng)協(xié)議地址（IP地址）的由來(lái)
11.1.2  IP地址
11.1.3  IP地址的構成
11.2  捕獲IP數據包
11.2.1  什么是IP數據報   
11.2.2  Wireshark位置
11.2.3  捕獲IP數據包
11.2.4  捕獲IP分片數據包
11.3  IP數據報首部格式
11.3.1  存活時(shí)間TTL
11.3.2  IP分片
11.4  分析IP數據包
11.4.1  分析IP首部
11.4.2  分析IP數據包中TTL的變化
11.4.3  IP分片數據包分析
第12章  UDP協(xié)議抓包分析
12.1  UDP協(xié)議概述
12.1.1  什么是UDP協(xié)議
12.1.2  UDP協(xié)議的特點(diǎn)
12.2  捕獲UDP數據包
12.3  分析UDP數據包
12.3.1  UDP首部格式
12.3.2  分析UDP數據包
第13章  TCP協(xié)議抓包分析
13.1  TCP協(xié)議概述
13.1.1  TCP協(xié)議的由來(lái)
13.1.2  TCP端口
13.1.3  TCP三次握手
13.1.4  TCP四次斷開(kāi)
13.1.5  TCP重置
13.2  捕獲TCP數據包
13.2.1  使用捕獲過(guò)濾器
13.2.2  使用顯示過(guò)濾器
13.2.3  使用著(zhù)色規則
13.3  TCP數據包分析
13.3.1  TCP首部
13.3.2  分析TCP的三次握手
13.3.3  分析TCP的四次斷開(kāi)
13.3.4  分析TCP重置數據包
第14章  ICMP協(xié)議抓包分析
14.1  ICMP協(xié)議概述
14.1.1  什么是ICMP協(xié)議
14.1.2  學(xué)習ICMP的重要性
14.1.3  Echo請求與響應
14.1.4  路由跟蹤
14.2  捕獲ICMP協(xié)議包
14.2.1  捕獲正常ICMP數據包
14.2.2  捕獲請求超時(shí)的數據包
14.2.3  捕獲目標主機不可達的數據包
14.3  分析ICMP數據包
14.3.1  ICMP首部
14.3.2  分析ICMP數據包——Echo Ping請求包   
14.3.3  分析ICMP數據包——Echo Ping響應包
14.3.4  分析ICMP數據包——請求超時(shí)數據包
14.3.5  分析ICMP數據包——目標主機不可達的數據包
第15章  DHCP數據抓包分析
15.1  DHCP概述
15.1.1  什么是DHCP
15.1.2  DHCP的作用
15.1.3  DHCP工作流程
15.2  DHCP數據抓包
15.2.1  Wireshark位置
15.2.2  使用捕獲過(guò)濾器
15.2.3  過(guò)濾顯示DHCP
15.3  DHCP數據包分析
15.3.1  DHCP報文格式
15.3.2  DHCP報文類(lèi)型
15.3.3  發(fā)現數據包
15.3.4  響應數據包
15.3.5  請求數據包
15.3.6  確認數據包
第16章  DNS抓包分析
16.1  DNS概述
16.1.1  什么是DNS
16.1.2  DNS的系統結構
16.1.3  DNS系統解析過(guò)程
16.1.4  DNS問(wèn)題類(lèi)型
16.2  捕獲DNS數據包
16.3  分析DNS數據包
16.3.1  DNS報文格式
16.3.2  分析DNS數據包
第17章  HTTP協(xié)議抓包分析
17.1  HTTP協(xié)議概述
17.1.1  什么是HTTP
17.1.2  HTTP請求方法
17.1.3  HTTP工作流程   
17.1.4  持久連接和非持久連接
17.2  捕獲HTTP數據包
17.2.1  使用捕獲過(guò)濾器
17.2.2  顯示過(guò)濾HTTP協(xié)議包
17.2.3  導出數據包
17.3  分析HTTP數據包
17.3.1  HTTP報文格式
17.3.2  HTTP的頭域
17.3.3  分析GET方法的HTTP數據包
17.3.4  分析POST方法的HTTP數據包
17.4  顯示捕獲文件的原始內容
17.4.1  安裝Xplico
17.4.2  解析HTTP包
第18章  HTTPS協(xié)議抓包分析
18.1  HTTPS協(xié)議概述
18.1.1  什么是HTTPS協(xié)議
18.1.2  HTTP和HTTPS協(xié)議的區別
18.1.3  HTTPS工作流程
18.2  SSL概述
18.2.1  什么是SSL
18.2.2  SSL工作流程
18.2.3  SSL協(xié)議的握手過(guò)程
18.3  捕獲HTTPS數據包
18.3.1  使用捕獲過(guò)濾器
18.3.2  顯示過(guò)濾數據包
18.4  分析HTTPS數據包
18.4.1  客戶(hù)端發(fā)出請求（Client Hello）
18.4.2  服務(wù)器響應（Server Hello）
18.4.3  證書(shū)信息
18.4.4  密鑰交換
18.4.5  應用層信息通信   
第19章  FTP協(xié)議抓包分析
19.1  FTP協(xié)議概述
19.1.1  什么是FTP協(xié)議
19.1.2  FTP的工作流程
19.1.3  FTP常用控制命令
19.1.4  應答格式
19.2  捕獲FTP協(xié)議數據包
19.3  分析FTP協(xié)議數據包
19.3.1  分析控制連接的數據
19.3.2  分析數據連接的數據
第20章  電子郵件抓包分析
20.1  郵件系統工作原理
20.1.1  什么郵件客戶(hù)端
20.1.2  郵件系統的組成及傳輸過(guò)程
20.2  郵件相關(guān)協(xié)議概述
20.2.1  SMTP協(xié)議
20.2.2  POP協(xié)議
20.2.3  IMAP協(xié)議
20.3  捕獲電子郵件數據包
20.3.1  Wireshark捕獲位置
20.3.2  Foxmail郵件客戶(hù)端的使用
20.3.3  捕獲電子郵件數據包
20.4  分析發(fā)送郵件的數據包
20.4.1  分析SMTP工作流程
20.4.2  查看郵件內容
20.5  分析接收郵件的數據包
20.5.1  分析POP工作流程
20.5.2  查看郵件內容

第3篇  實(shí)戰篇
第21章  操作系統啟動(dòng)過(guò)程抓包分析
21.1  操作系統概述
21.2  捕獲操作系統啟動(dòng)過(guò)程產(chǎn)生的數據包
21.3  分析數據包
21.3.1  獲取IP地址
21.3.2  加入組播組
21.3.3  發(fā)送NBNS協(xié)議包
21.3.4  ARP協(xié)議包的產(chǎn)生
21.3.5  訪(fǎng)問(wèn)共享資源
21.3.6  開(kāi)機自動(dòng)運行的程序