精通 Wireshark

Wireshark是一種常用而又強大的工具，這種工具的作用是分析網絡中流動的數據。Wireshark可以處理從網絡第2層到第7層的網絡協議，將信息以人類可以閱讀的形式呈現出來，供分析使用。
本書可以幫助讀者將自己的網絡知識提升到專家級的水準。本書的開篇介紹瞭如何安裝Wireshark，還介紹了這款軟件的界面，以便讀者理解這些界面的功能。隨後，本書介紹了用來創建、使用抓包過濾器和顯示過濾器的不同方法。本書中篇介紹了Wireshark的很多特性，讀者可以用來分析各層網絡協議，查看網絡中是否出現了異常情況。讀者就會掌握Wireshark的很多特性、能夠分析各層網絡協議、查看網絡中是否出現了異常情況。本書末尾介紹瞭如何使用Wireshark來進行網絡安全分析，並且針對排錯需求來配置這款軟件。

本書內容：
安裝Wireshark、理解Wireshark的GUI界面以及界面中的所有功能；
創建和使用不同的過濾器；
分析網絡各層的協議，瞭解網絡中流動的數據包總量；
對加密的無線流量進行解密；
用Wireshark作為診斷工具，並用這個軟件來執行網絡安全分析，追蹤網絡中的惡意軟件；
在Wireshark的協助下對所有的網絡異常情況進行分析；
解決網絡中關於延遲和瓶頸的問題。

本書讀者對像
你對網絡中發生的一切感到好奇嗎？在你無法解決網絡中的故障時，會感到懊惱嗎？如果你的答案是肯定的，你就是本書的目標讀者。
如果你對網絡和完全技術抱有熱情，有興趣理解網絡的內部工作方式，希望徹底掌握Wireshark的使用方法，本書就是為你量身定製的。

作者簡介

作者:[印度]夏里特·米甚拉（Charit Mishra）譯者:YESLAB工作室
Charit Mishra是一位技術顧問與滲透測試專家，供職於全球dingjian的諮詢公司Protiviti。他的工作職責是幫助客戶找出網絡中的安全漏洞，他無比熱愛自己的這份工作。他憑藉自己在安全方面的實踐經驗考取了大量dingji行業認證，如OSCP、CEH、CompTIA Security+和CCNA R&S。此外，他也擁有計算機科學領域的碩士學位。他曾經在各類學術會議和民間組織中就信息安全與滲透測試發表過專業演講。讀者可以通過LinkedIn（https://ae.linkedin.com/in/charitmishra）和Twitter（@charit0819）來與他取得聯繫。

第1章歡迎來到Wireshark數據包分析的世界1 

1.1 Wireshark簡介1 
1.2 TCP／IP模型概述2 
1.3 TCP／IP模型的分層2 
1.4通過Wireshark進行數據包分析6 
1.4.1如何分析數據包8 
1.4 .2何為Wireshark 8 
1.4.3它的工作方式9 
1.5抓取信息的方式11 
1.5.1基於集線器的網絡11 
1.5.2交換環境11 
1.5.3 ARP毒化13 
1.5.4穿越路由器16 
1.5.5為什麼要使用Wireshark 16 
1.5.6 Wireshark的GUI界面17 
1.5.7開啟第一次抓包之旅22 
1.6總結25 
1.7練習題26 

第2章用Wireshark過濾出我們需要的數據29 

2.1過濾器簡介30 
2.2抓包過濾器30 
2.2.1為什麼要使用抓包過濾器35 
2.2.2如何使用抓包過濾器36 
2.2.3抓包過濾器的示例37 
2.2.4使用協議頭部參數的抓包過濾器38 
2.3顯示過濾器40 
2.4使用Find對話框來搜索數據包44 
2.5創建新的Wireshark配置文件50 
2.6總結51 
2.7練習題52 

第3章掌握Wireshark的高級特性55 

3.1 Statistics菜單56 
3.1.1 Statistics菜單的使用56 
3.1.2 協議分層58 
3.2會話60 
3.3端點61 
3.4 IO圖、數據流圖和TCP數據流量圖64 
3.5 IO圖65 
3.6數據流圖67 
3.7 TCP數據流量圖68 
3.7.1往返時間圖68 
3.7.2吞吐量圖70 
3.7.3時序圖（tcptrace） 71 
3.8查看TCP數據流（FollowTCPStream） 72 
3.9專家信息（ExpertInfos） 74 
3.10命令行工具79 
3.11總結85 
3.12練習題86 

第4章監控應用層協議89 

4.1域名系統90 
4.1.1解析DNS數據包91 
4.1.2解析DNS查詢／響應消息93 
4.1.3異常的DNS流量95 
4.2文件傳輸協議96 
4.2.1解析FTP的通信96 
4.2.2解析FTP數據包99 
4.2. 3異常的FTP流量101 
4.3超文本傳輸協議102 
4.3.1工作方式——請求／響應103 
4.3.2請求消息103 
4.3.3響應消息105 
4.3.4異常的HTTP流量107 
4.4簡單郵件傳輸協議109 
4.4 .1常規SMTP與異常SMTP流量110 
4.4.2 SIP（會話初始化協議）與VoIP 113 
4.4.3分析VoIP流量116 
4.4.4異常的流量模式118 
4.4.5對加密後的流量（SSL／TLS）進行解密120 
4.5總結 121 
4.6練習題122 

第5章分析傳輸層協議125 

5.1傳輸控制協議126 
5.1.1理解TCP的頭部與各種標記126 
5.1.2 TCP的通信方式128 
5.1.3相對值與絕對值133 
5.1. 4異常TCP流量137 
5.1.5如何使用Wireshark查看不同的分析標記139 
5.2用戶數據報協議140 
5.2.1 UDP的頭部141 
5.2.2工作方式142 
5.2.3異常的UDP流量145 
5.3總結147 
5.4練習題148 

第6章分析無線流量149 

6.1理解IEEE802.11150 
6.1.1無線通信中的各種模式152 
6.1.2 IEEE802.11數據包結構157 
6.2正常和異常WEP——開放／共享的密鑰通信163 
6.2.1 WEP開放密鑰165 
6.2.2共享密鑰166 
6.2.3 WPA個人168 
6.2.4 WPA企業172 
6.3解密WEP和WPA流量174 
6.4總結176 
6.5練習題177 

第7章網絡安全分析181 

7.1收集信息182 
7.1.1 ping掃描183 
7.1.2半開連接掃描（SYN） 184 
7.1.3 OS指紋識別186 
7.2 ARP毒化188 
7.3分析暴力破解攻擊192 
7.3.1檢測惡意流量200 
7.3.2解決實際的CTF難題206 
7.4總結214 
7.5練習題215 

第8章排錯217 

8.1恢復特性218 
8.1.1流控制機制222 
8.1.2排查互聯網速率慢和網絡延遲問題225 
8.1.3客戶端側和服務器側的延遲229 
8.1.4排查瓶頸問題234 
8.1. 5排查基於應用的問題237 
8.2總結243 
8.3練習題244 

第9章Wiresharkv2簡介245 

9.1智能滾動條250 
9.2翻譯252 
9.3圖形提升254 
9.4 TCP流258 
9.5 USBPcap 260 
9.6總結262 
9.7練習題263