Wireshark 網絡分析實戰, 2/e

作者:[印度]甘德拉·庫馬爾·納納（Nagendra Kumar Nainar）、堯戈什·拉姆多斯（Yogesh Ramdoss）[以色列]約拉姆·奧紮赫（Yoram Orzach）譯者:孫餘強、王濤
Nagendra Kumar Nainar（CCIE #20987），Cisco公司RP升級（escalation）團隊的高級技術領導。他是80多項專利申請的共同發明人，以及6份Internet RFC、多份Internet草案和IEEE論文的共同作者。他還是北卡羅來納州立大學的客座講師，在各種網絡論壇上發表過演講。
Yogesh Ramdoss（CCIE #16183），Cisco公司技術服務機構的高級技術領導。他是Cisco Live大會的傑出演講者，在會上向客戶分享並傳授與企業/數據中心技術和平臺、故障排除和抓包工具，以及與開放性網絡編程有關的技術。他還是機器/行為學習（machine/behavior learning）方面某些專利的共同發明人。
Yoram Orzach，畢業於以色列海法理工學院，擁有該校頒發的科學學士學位。他最初以系統工程師的身份就職於Bezeq公司，從事傳輸及接入網相關工作。在擔任過Netplus公司的技術管理者一職之後，現任NDI通信公司的CTO。Yoram對大型企業網絡、服務提供商網絡及Internet服務提供商網絡極有心得，Comverse、Motorola、Intel、Ceragon Networks、Marvel以及HP等公司都接受過他提供的服務。他在網絡設計、實施及排障方面浸淫多年，具有研發、工程及IT團隊培訓工作的豐富經驗。

第1章Wireshark版本2簡介1 
1.1 Wireshark版本2基礎知識1 
1.2安置Wireshark 2 
1.3在虛擬機上抓包11 
1.4開始抓包17 
1.5配置啟動窗口29 

第2章熟練使用Wireshark排除網絡故障37 
2.1概述37 
2.2配置用戶界面及全局、協議參數38 
2.3抓包文件的導入和導出48 
2.4調整數據包的配色規則52 
2.5配置時間參數54 
2.6構建排障使用的配置模板56 

第3章抓包過濾器的用法60 
3.1簡介60 
3.2配置抓包過濾器61 
3.3配置Ethernet過濾器65 
3.4配置主機和網絡過濾器68 
3.5配置TCP / UDP及埠過濾器72 
3.6配置複合型過濾器76 
3.7配置字節偏移和淨載匹配型過濾器77 

第4章顯示過濾器的用法82 
4.1顯示過濾器簡介82 
4.2配置顯示過濾器83 
4.3配置Ethernet、ARP、主機和網絡過濾器92 
4.4配置TCP/UDP過濾器97 
4.5配置指定協議類型的過濾器103
4.6配置字節偏移型過濾器106 
4.7配置顯示過濾器宏107 

第5章基本信息統計工具的用法109 
5.1簡介109 
5.2 Statistics菜單中Capture File Properties工具的用法110 
5.3 Statistics菜單中Resolved Addresses工具的用法112 
5.4 Statistics菜單中Protocol Hierarchy工具的用法113 
5.5 Statistics菜單中Conversations工具的用法117 
5.6 Statistics菜單中Endpoints工具的用法122 
5.7 Statistics菜單中HTTP工具的用法126 
5.8配置Flow Graph（數據流圖），查看TCP流130 
5.9生成與IP屬性有關的統計信息132 

第6章高級信息統計工具的用法136 
6.1簡介136 
6.2配置支持顯示過濾器的I/O Graphs工具，來定位與網絡性能有關的問題137 
6.3用IO Graphs工具測量鏈路的吞吐量142 
6.4啟用Y軸其他參數的I/O Graphs工具的高級用法150 
6.5 TCP Stream Graphs菜單項中Time-Sequence（Stevens）子菜單項的用法158 
6.6 TCP Stream Graphs菜單項中Time-Sequence（tcptrace）子菜單項的用法1 64
6.7 TCP Stream Graphs菜單項中Throughput Graph子菜單項的用法170 
6.8 TCP Stream Graphs菜單項中Round Trip Time Graph子菜單項的用法172 
6.9 TCP Stream Graphs菜單項中Window Scaling Graph子菜單項的用法175 

第7章Expert Information工具的用法177 
7.1簡介177 
7.2如何使用Expert Information工具排障網絡故障178 
7.3認識Error事件185 
7.4認識Warning事件187 
7.5認識Note事件190 

第8章Ethernet和LAN交換193 
8.1簡介193 
8.2發現廣播和錯包風暴193 
8.3生成樹協議故障分析200 
8.4 VLAN和VLAN tagging故障分析209 

第9章無線LAN 214 
9.1學習目標214 
9.2認識無線網絡及其標準214 
9.3無線網絡射頻故障、故障分析及故障排除217 
9.4無線LAN抓包223 

第10章網絡層協議及其運作方式230 
10.1簡介230 
10.2 IPv4地址解析協議的運作方式及故障排除233
10.3 ICMP協議的運作方式及故障分析/排除240 
10.4 IPv4單播路由選擇的運作方式及故障分析245 
10.5與IPv4數據包分片有關的故障分析249 
10.6 IPv4多播路由選擇運作原理254 
10.7 IPv6協議的運作原理256 
10.8 IPv6擴展頭部259 
10.9 ICMPv6協議的運作方式及故障分析/排除263 
10.10 IPv6地址自動配置特性265 
10.11基於DHCPv6的地址分配269 
10.12 IPv6鄰居發現協議的運作原理和故障分析274 

第11章傳輸層協議分析279 
11.1簡介279 
11.2 UDP的運作原理280 
11.3 UDP協議分析和故障排除281 
11.4 TCP的運作原理284 
11.5排除TCP連通性故障285 
11.6解決TCP重傳問題292 
11.7 TCP滑動窗口機制302 
11.8對TCP的改進—選擇性ACK和時間戳選項307 
11.9排除與TCP的數據傳輸吞吐量有關的故障313 

第12章FTP、HTTP/1和HTTP/2 317 
12.1介紹317 
12.2 FTP故障分析318 
12.3篩選HTTP流量323
12.4配置Preferences窗口中Protocols選項下的HTTP協議參數327 
12.5 HTTP故障分析330 
12.6導出HTTP對象336 
12.7 HTTP數據流分析338 
12.8 HTTPS協議流量分析—SSL/TLS基礎340 

第13章DNS協議分析348 
13.1簡介348 
13.2分析DNS資源記錄類型349 
13.3分析DNS的常規運作機制354 
13.4分析DNSSEC的常規運作機制361 
13.5排除DNS故障365 

第14章E-mail協議分析368 
14.1簡介368 
14.2 E-mail協議的常規運作方式369 
14.3 POP、IMAP和SMTP故障分析379 
14.4分析E-mail協議的錯誤狀態碼，並據此篩選E-mail流量383 
14.5分析惡意及垃圾郵件389 

第15章NetBIOS和SMB協議分析392 
15.1介紹392 
15.2認識NetBIOS協議393 
15.3認識SMB協議394 
15.4 NetBIOS/SMB協議故障分析394 
15.5數據庫流量及常見故障分析401 
15.6導出SMB對象405 

第16章企業網應用程序行為分析407
16.1簡介407 
16.2摸清流淌於網絡中的流量的類型407 
16.3 Microsoft終端服務器和Citrix故障分析410 
16.4數據庫流量及常見故障分析414 
16.5 SNMP流量分析417 

第17章排除SIP、多媒體及IP電話故障419 
17.1簡介419 
17.2 IP電話技術的原理及常規運作方式420 
17.3 SIP的運作原理、消息及錯誤代碼427 
17.4 IP上的視頻和RTSP 437 
17.5 Wireshark的RTP流分析和過濾功能443 
17.6 Wireshark的VoIP呼叫重放功能446 

第18章排除由低帶寬或高延遲所引發的故障448 
18.1簡介448 
18.2測量網絡帶寬及應用程序生成的流量速率449 
18.3借助Wireshark來獲知鏈路的延遲及抖動狀況454 
18.4分析網絡瓶頸、問題及故障排除457 

第19章網絡安全和網絡取證461 
19.1簡介461 
19.2發現異常流量模式462 
19.3發現基於MAC地址和基於ARP的攻擊466 
19.4發現ICMP和TCP SYN/埠掃描468 
19.5發現DoS和DDoS攻擊475 
19.6發現高級TCP攻擊478
19.7 發現針對某些應用程序的暴力破解攻擊481