从实践中学习Wireshark数据分析

作品简介

Wireshark是一款业界知名的数据捕获和分析工具。它不仅支持几百种网络协议的解析，还提供了大量的分析功能，能满足不同用户的数据分析需求。同时，它提供了丰富的用户接口，允许用户以图形化和命令行等多种方式使用。

本书基于Wireshark 3，详细讲解了数据抓包和分析的相关技术。书中首先介绍了环境搭建、数据捕获、数据处理和数据呈现；然后详细介绍了数据分析的各种功能和应用技巧，如显示过滤器、分组分析和着色规则等；最后详细介绍了常见网络协议的数据分析方式，包含网络基础协议（ARP、DNS、DHCP）、数据传输协议（TCP、UDP）和高级应用协议（HTTP、SMTP/POP3、SMB）等。

作品目录

• 前言
• 第1章　网络数据分析概述
• 1.1　网络数据传输
• 1.1.1　网络构成
• 1.1.2　数据传输
• 1.1.3　网络类型
• 1.2　网络协议
• 1.2.1　OSI模型
• 1.2.2　TCP/IP协议族
• 1.3　Wireshark概述
• 1.3.1　Wireshark的历史
• 1.3.2　获取Wireshark软件
• 1.3.3　Windows系统安装Wireshark
• 1.3.4　Mac OS系统安装Wireshark
• 1.3.5　Linux系统安装Wireshark
• 第2章　捕获数据包
• 2.1　指定网络接口
• 2.1.1　接口种类
• 2.1.2　选择接口
• 2.1.3　捕获USB设备包
• 2.2　使用管道接口
• 2.2.1　添加管道接口
• 2.2.2　捕获管道接口数据
• 2.3　远程捕获数据包
• 2.3.1　管理远程接口
• 2.3.2　Windows下配置rpcapd服务
• 2.3.3　Linux下配置rpcapd服务
• 2.3.4　添加远程接口
• 2.3.5　实施远程捕获数据包
• 2.4　使用捕获过滤器
• 2.4.1　指定捕获过滤器
• 2.4.2　基于类型过滤
• 2.4.3　基于传输方向过滤
• 2.4.4　基于协议过滤
• 2.4.5　基于数据过滤
• 2.4.6　使用多个捕获过滤器
• 2.4.7　使用预置表达式
• 第3章　数据处理
• 3.1　保存文件
• 3.1.1　自动保存文件
• 3.1.2　手动保存文件
• 3.2　打开文件
• 3.2.1　打开抓包文件
• 3.2.2　文件属性
• 3.2.3　合并抓包文件
• 3.2.4　导入转储文件
• 3.3　快速分析
• 3.3.1　关联地址
• 3.3.2　协议构成
• 3.3.3　数据包长度
• 3.3.4　数据流量
• 3.3.5　发包统计
• 第4章　数据呈现
• 4.1　分组列表
• 4.1.1　默认列
• 4.1.2　编辑现有列
• 4.1.3　添加/删除列
• 4.1.4　隐藏/移动/重排列
• 4.2　分组详情
• 4.2.1　查看方式
• 4.2.2　操作树形结构
• 4.2.3　专家信息
• 4.3　分组字节流
• 4.3.1　数值形式
• 4.3.2　文本形式
• 4.3.3　分析分组字节
• 第5章　显示过滤器
• 5.1　基础使用
• 5.1.1　使用显示过滤器
• 5.1.2　获取显示过滤器表达式
• 5.1.3　使用单一显示过滤器
• 5.1.4　使用多个显示过滤器
• 5.1.5　高级过滤器
• 5.2　使用技巧
• 5.2.1　使用显示过滤器按钮
• 5.2.2　使用对话过滤器
• 5.2.3　基于显示过滤器保存
• 5.2.4　使用预置表达式
• 5.2.5　使用宏
• 第6章　分析手段
• 6.1　分析分组
• 6.1.1　查找信息
• 6.1.2　复制信息
• 6.2　基于时间分析
• 6.2.1　时间格式
• 6.2.2　设置时间参考
• 6.2.3　修正显示的时间
• 6.3　名称解析
• 6.3.1　MAC地址解析
• 6.3.2　端口自动解析
• 6.3.3　IP地址解析
• 6.4　协议解析
• 6.4.1　启用协议
• 6.4.2　指定解析的协议
• 6.5　数据包分组
• 6.5.1　标记分组
• 6.5.2　导出分组结果
• 6.5.3　忽略分组
• 6.6　分组注释
• 6.7　跳转分析
• 6.7.1　顺序跳转
• 6.7.2　指定跳转分组
• 6.7.3　对话内跳转
• 6.7.4　历史记录跳转
• 6.8　着色规则
• 6.8.1　启用着色规则
• 6.8.2　设置着色规则
• 6.8.3　对话着色
• 第7章　无线网络抓包和分析
• 7.1　软硬件需求
• 7.1.1　Wireshark组件需求
• 7.1.2　硬件需求
• 7.2　捕获数据
• 7.2.1　捕获数据包
• 7.2.2　流量基本分析
• 7.2.3　捕获过滤
• 7.3　分析数据
• 7.3.1　常用显示过滤器
• 7.3.2　分析认证方式
• 7.3.3　分析WEP握手包
• 7.3.4　分析WPA握手包
• 7.4　数据解密
• 7.4.1　WEP解密
• 7.4.2　WPA解密
• 7.4.3　永久解密
• 第8章　网络基础协议数据包分析
• 8.1　ARP分析
• 8.1.1　过滤ARP包
• 8.1.2　分析ARP会话
• 8.1.3　发现ARP攻击
• 8.2　DHCP分析
• 8.2.1　过滤DHCP包
• 8.2.2　分析DHCP会话
• 8.2.3　数据统计
• 8.3　DNS分析
• 8.3.1　过滤DNS包
• 8.3.2　分析DNS会话
• 8.3.3　数据统计
• 第9章　TCP协议数据分析
• 9.1　捕获TCP数据包
• 9.1.1　捕获过滤
• 9.1.2　端点分析
• 9.1.3　端口过滤
• 9.2　会话分析
• 9.2.1　会话统计
• 9.2.2　建立连接
• 9.2.3　断开连接
• 9.2.4　防火墙过滤
• 9.3　传输数据分析
• 9.3.1　跟踪流
• 9.3.2　保存流
• 9.3.3　TCP流图形
• 第10章　UDP协议数据分析
• 10.1　基础分析
• 10.1.1　捕获过滤
• 10.1.2　端点分析
• 10.1.3　会话分析
• 10.2　传输数据分析
• 10.2.1　跟踪流
• 10.2.2　保存流
• 10.2.3　UDP多播流
• 第11章　HTTP协议数据包分析
• 11.1　过滤数据包
• 11.1.1　捕获过滤
• 11.1.2　显示过滤
• 11.2　IP地址分析
• 11.2.1　结合DNS数据包分析
• 11.2.2　结合DNS缓存
• 11.2.3　自动解析
• 11.2.4　地址位置信息
• 11.2.5　网站汇总
• 11.2.6　编辑解析的名称
• 11.3　请求分析
• 11.3.1　请求概要
• 11.3.2　请求目标
• 11.3.3　URL数据传递
• 11.3.4　表单数据传递
• 11.3.5　Cookie数据传递
• 11.3.6　请求端类型
• 11.4　响应分析
• 11.4.1　请求和响应对应关系
• 11.4.2　响应状态码
• 11.4.3　查看网页内容
• 11.4.4　跟踪流
• 11.4.5　保存流
• 11.4.6　导出HTTP对象
• 11.5　HTTPS分析
• 11.5.1　TLS流
• 11.5.2　导出TLS会话密钥
• 11.5.3　HTTPS统计分析
• 11.5.4　解密HTTPS数据
• 第12章　其他应用协议数据包分析
• 12.1　SMTP/POP3分析
• 12.1.1　过滤SMTP/POP数据包
• 12.1.2　分析SMTP会话
• 12.1.3　导出IMF对象
• 12.2　SMB分析
• 12.2.1　过滤SMB数据包
• 12.2.2　导出SMB对象
• 12.3　TFTP分析
• 12.3.1　过滤TFTP数据包
• 12.3.2　导出TFTP对象
• 12.4　SCTP分析
• 12.4.1　过滤SCTP数据包
• 12.4.2　SCTP分析
• 12.5　FTP分析
• 12.5.1　过滤FTP数据包
• 12.5.2　重组FTP数据
• 附录A　Wireshark命令行工具
• A.1　捕获文件信息查看工具capinfos
• A.1.1　基本使用
• A.1.2　报告形式
• A.1.3　信息种类
• A.1.4　杂项
• A.2　数据包捕获保存工具dumpcap
• A.2.1　捕获数据
• A.2.2　远程捕获
• A.2.3　自动停止捕获
• A.2.4　保存文件
• A.3　编辑捕获文件editcap
• A.3.1　基本语法
• A.3.2　移除指定的数据包
• A.3.3　去除重复的数据包
• A.3.4　修正时间
• A.3.5　截断存储
• A.3.6　随机修改
• A.3.7　合并文件
• A.3.8　修改注释
• A.3.9　文件集合
• A.3.10　修改密钥
• A.3.11　杂项
• A.4　数据包分析工具tshark
• A.4.1　捕获数据
• A.4.2　自动停止捕获
• A.4.3　远程捕获
• A.4.4　处理方式
• A.4.5　保存文件
• A.4.6　输出信息
• A.4.7　杂项
• A.5　简易数据文件分析工具rawshark
• A.6　其他工具
• A.6.1　显示过滤器字节码查看工具dftest
• A.6.2　合并捕获文件mergecap
• A.6.3　解析IP地理信息工具mmdbresolve
• A.6.4　数据包排序工具reordercap
• A.6.5　十六进制文本数据转化工具text2pcap