目　錄

第1章　數據包分析技術與網絡基礎　1
1.1　數據包分析與數據包嗅探器　2
1.1.1　評估數據包嗅探器　2
1.1.2　數據包嗅探器工作原理　3
1.2　網絡通信原理　4
1.2.1　協議　4
1.2.2　七層OSI參考模型　5
1.2.3　數據封裝　8
1.2.4　網絡硬件　10
1.3　流量分類　15
1.3.1　廣播流量　15
1.3.2　多播流量　16
1.3.3　單播流量　16
1.4　小結　17

第2章　監聽網絡綫路　19
2.1　混雜模式　20
2.2　在集綫器連接的網絡中進行嗅探　21
2.3　在交換式網絡中進行嗅探　23
2.3.1　端口鏡像　23
2.3.2　集綫器輸齣　25
2.3.3　使用網絡分流器　26
2.3.4　ARP欺騙　29
2.4　在路由網絡環境中進行嗅探　34
2.5　部署嗅探器的實踐指南　36

第3章　Wireshark入門　39
3.1　Wireshark簡史　39
3.2　Wireshark的優點　40
3.3　安裝Wireshark　41
3.3.1　在微軟Windows係統中安裝　41
3.3.2　在Linux係統中安裝　43
3.3.3　在Mac OS X係統中安裝　45
3.4　Wireshark初步入門　45
3.4.1　第一次捕獲數據包　45
3.4.2　Wireshark主窗口　46
3.4.3　Wireshark首選項　48
3.4.4　數據包彩色高亮　49

第4章　玩轉捕獲數據包　53
4.1　使用捕獲文件　53
4.1.1　保存和導齣捕獲文件　54
4.1.2　閤並捕獲文件　55
4.2　分析數據包　55
4.2.1　查找數據包　56
4.2.2　標記數據包　57
4.2.3　打印數據包　57
4.3　設定時間顯示格式和相對參考　58
4.3.1　時間顯示格式　58
4.3.2　數據包的相對時間參考　59
4.4　設定捕獲選項　60
4.4.1　捕獲設定　61
4.4.2　捕獲文件設定　61
4.4.3　停止捕獲選項　62
4.4.4　顯示選項　62
4.4.5　名字解析選項　63
4.5　使用過濾器　63
4.5.1　捕獲過濾器　63
4.5.2　顯示過濾器　69
4.5.3　保存過濾器　72

第5章　Wireshark高級特性　75
5.1　網絡端點和會話　75
5.1.1　查看端點　76
5.1.2　查看網絡會話　77
5.1.3　使用端點和會話窗口進行問題定位　78
5.2　基於協議分層結構的統計數據　79
5.3　名字解析　81
5.3.1　開啓名字解析　81
5.3.2　名字解析的潛在弊端　82
5.4　協議解析　82
5.4.1　更換解析器　82
5.4.2　查看解析器源代碼　85
5.5　跟蹤TCP流　85
5.6　數據包長度　86
5.7　圖形展示　88
5.7.1　查看IO圖　88
5.7.2　雙嚮時間圖　90
5.7.3　數據流圖　91
5.8　專傢信息　92

第6章　通用底層網絡協議　95
6.1　地址解析協議　96
6.1.1　ARP頭　97
6.1.2　數據包1：ARP請求　98
6.1.3　數據包2：ARP響應　99
6.1.4　無償的ARP　100
6.2　互聯網協議　101
6.2.1　IP地址　102
6.2.2　IPv4頭　103
6.2.3　存活時間　104
6.2.4　IP分片　107
6.3　傳輸控製協議　109
6.3.1　TCP頭　109
6.3.2　TCP端口　110
6.3.3　TCP的三次握手　113
6.3.4　TCP終止　116
6.3.5　TCP重置　117
6.4　用戶數據報協議　118
6.5　互聯網控製消息協議　119
6.5.1　ICMP頭　119
6.5.2　ICMP類型和消息　120
6.5.3　Echo請求與響應　120
6.5.4　路由跟蹤　122

第7章　常見高層網絡協議　127
7.1　動態主機配置協議DHCP　127
7.1.1　DHCP頭結構　128
7.1.2　DHCP續租過程　129
7.1.3　DHCP租約內續租　134
7.1.4　DHCP選項和消息類型　134
7.2　域名係統　135
7.2.1　DNS數據包結構　135
7.2.2　一次簡單的DNS查詢過程　136
7.2.3　DNS問題類型　138
7.2.4　DNS遞歸　139
7.2.5　DNS區域傳送　142
7.3　超文本傳輸協議　145
7.3.1　使用HTTP瀏覽　145
7.3.2　使用HTTP傳送數據　147
7.4　小結　149

第8章　基礎的現實世界場景　151
8.1　數據包層麵的社交網絡　152
8.1.1　捕獲Twitter流量　152
8.1.2　捕獲Facebook流量　156
8.1.3　比較Twitter和Facebook的方法　158
8.2　捕獲ESPN.com流量　159
8.2.1　使用會話窗口　159
8.2.2　使用協議分層統計窗口　160
8.2.3　查看DNS流量　161
8.2.4　查看HTTP請求　162
8.3　現實世界問題　163
8.3.1　無法訪問Internet：配置問題　163
8.3.2　無法訪問Internet：意外重定嚮　166
8.3.3　無法訪問Internet：上遊問題　169
8.3.4　打印機故障　172
8.3.5　分公司之睏　175
8.3.6　生氣的開發者　179
8.4　小結　184

第9章　讓網絡不再卡　185
9.1　TCP的錯誤恢復特性　186
9.1.1　TCP重傳　186
9.1.2　TCP重復確認和快速重傳　189
9.2　TCP流控製　194
9.2.1　調整窗口大小　195
9.2.2　用零窗口通知停止數據流　196
9.2.3　TCP滑動窗口實戰　197
9.3　從TCP錯誤控製和流量控製中學到的　200
9.4　定位高延遲的原因　201
9.4.1　正常通信　202
9.4.2　慢速通信——綫路延遲　202
9.4.3　慢速通信——客戶端延遲　203
9.4.4　慢速通信——服務器延遲　204
9.4.5　延遲定位框架　204
9.5　網絡基綫　205
9.5.1　站點基綫　206
9.5.2　主機基綫　207
9.5.3　應用程序基綫　208
9.5.4　基綫的其他注意事項　209
9.6　小結　209

第10章　安全領域的數據包分析　211
10.1　網絡偵察　212
10.1.1　SYN掃描　212
10.1.2　操作係統指紋術　216
10.2　漏洞利用　219
10.2.1　極光行動　219
10.2.2　ARP緩存中毒攻擊　225
10.2.3　遠程訪問特洛伊木馬　229
10.3　小結　236

第11章　無綫網絡數據包分析　237
11.1　物理因素　237
11.1.1　一次嗅探一個信道　238
11.1.2　無綫信號乾擾　239
11.1.3　檢測和分析信號乾擾　239
11.2　無綫網卡模式　240
11.3　在Windows上嗅探無綫網絡　242
11.3.1　配置AirPcap　242
11.3.2　使用AirPcap捕獲流量　243
11.4　在Linux上嗅探無綫網絡　244
11.5　802.11數據包結構　246
11.6　在Packet List麵闆增加無綫專用列　247
11.7　無綫專用過濾器　248
11.7.1　篩選特定BSS ID的流量　249
11.7.2　篩選特定的無綫數據包類型　249
11.7.3　篩選特定頻率　250
11.8　無綫網絡安全　251
11.8.1　成功的WEP認證　251
11.8.2　失敗的WEP認證　253
11.8.3　成功的WPA認證　253
11.8.4　失敗的WPA認證　255
11.9　小結　256

附錄A　延伸閱讀　257
· · · · · · (收起)