Wireshark數據抓包分析——網絡協議篇
Wireshark是眼下最受歡迎的抓包工具。
它能夠執行在Windows、Linux及MAC OS X操作系統中,並提供了友好的圖形界面。同一時候,Wireshark提供功能強大的數據抓包功能。使用它。能夠以各種方式抓取用戶所須要的網絡數據包。
可是用戶往往無法從數據包中直接獲取所須要的數據。這是因為全部的信息在傳輸過程中。都會被依照各種網絡協議進行封裝。
用戶想要從海量的數據抓包中獲取的實用的信息,必須了解各種常見的網絡協議。為了方便用戶對數據包的分析,本書具體介紹了經常使用的各種網絡協議,如ARP、IP、TCP、UDP、ICMP、DHCP、DNS、HTTP、HTTPS、FTP、SMTP、POP3等。
試讀文檔下載:http://pan.baidu.com/s/1qWM70dQ
目 錄
第1章 網絡協議抓包概述 1
1.1 數據抓包工具 1
1.1.1 數據抓包原理 1
1.1.2 經常使用數據抓包工具–Wireshark 1
1.2 安裝Wireshark 2
1.2.1 安裝到Windows系統 2
1.2.2 安裝到Linux系統 6
1.3 網絡協議原理 7
1.3.1 什么是網絡協議 7
1.3.2 OSI七層模型 7
1.3.3 TCP/IP協議族 8
1.3.4 數據封裝 9
第2章 ARP協議抓包分析 11
2.1 ARP基礎知識 11
2.1.1 什么是ARP 11
2.1.2 ARP工作流程 11
2.1.3 ARP緩存表 12
2.2 捕獲ARP協議包 15
2.2.1 Wireshark位置 15
2.2.2 使用捕獲過濾器 15
2.3 分析ARP協議包 17
2.3.1 ARP報文格式 17
2.3.2 ARP請求包 18
2.3.3 ARP響應包 20
第3章 互聯網協議(IP)抓包分析 21
3.1 互聯網協議(IP)概述 21
3.1.1 互聯網協議地址(IP地址)的由來 21
3.1.2 IP地址 22
3.1.3 IP地址的構成 23
3.2 捕獲IP數據包 23
3.2.1 什么是IP數據報 24
3.2.2 Wireshark位置 24
3.2.3 捕獲IP數據包 25
3.2.4 捕獲IP分片數據包 27
3.3 IP數據報首部格式 29
3.3.1 存活時間TTL 30
3.3.2 IP分片 31
3.4 分析IP數據包 32
3.4.1 分析IP首部 32
3.4.2 分析IP數據包中TTL的變化 33
3.4.3 IP分片數據包分析 36
第4章 UDP協議抓包分析 42
4.1 UDP協議概述 42
4.1.1 什么是UDP協議 42
4.1.2 UDP協議的特點 42
4.2 捕獲UDP數據包 43
4.3 分析UDP數據包 45
4.3.1 UDP首部格式 46
4.3.2 分析UDP數據包 46
第5章 TCP協議抓包分析 48
5.1 TCP協議概述 48
5.1.1 TCP協議的由來 48
5.1.2 TCPport 48
5.1.3 TCP三次握手 49
5.1.4 TCP四次斷開 51
5.1.4 TCP重置 51
5.2 捕獲TCP數據包 52
5.2.1 使用捕獲過濾器 52
5.2.2 使用顯示過濾器 54
5.2.3 使用着色規則 56
5.3 TCP數據包分析 61
5.3.1 TCP首部 62
5.3.2 分析TCP的三次握手 63
5.3.3 分析TCP的四次斷開 68
5.3.4 分析TCP重置數據包 74
第6章 ICMP協議抓包分析 77
6.1 ICMP協議概述 77
6.1.1 什么是ICMP協議 77
6.1.2 學習ICMP的重要性 77
6.1.3 Echo請求與響應 77
6.1.4 路由跟蹤 78
6.2 捕獲ICMP協議包 78
6.2.1 捕獲正常ICMP數據包 78
6.2.2 捕獲請求超時的數據包 80
6.2.3 捕獲目標主機不可達的數據包 82
6.3 分析ICMP數據包 84
6.3.1 ICMP首部 84
6.3.2 分析ICMP數據包–Echo Ping請求包 85
6.3.3 分析ICMP數據包–Echo Ping響應包 86
6.3.4 分析ICMP數據包–請求超時數據包 88
6.3.5 分析ICMP數據包–目標主機不可達的數據包 90
第7章 DHCP數據抓包分析 92
7.1 DHCP概述 92
7.1.1 什么是DHCP 92
7.1.2 DHCP的作用 92
7.1.3 DHCP工作流程 93
7.2 DHCP數據抓包 95
7.2.1 Wireshark位置 95
7.2.2 使用捕獲過濾器 96
7.2.3 過濾顯示DHCP 100
7.3 DHCP數據包分析 102
7.3.1 DHCP報文格式 103
7.3.2 DHCP報文類型 104
7.3.3 發現數據包 104
7.3.4 響應數據包 106
7.3.5 請求數據包 108
7.3.6 確認數據包 111
第8章 DNS抓包分析 114
8.1 DNS概述 114
8.1.1 什么是DNS 114
8.1.2 DNS的系統結構 114
8.1.3 DNS系統解析過程 115
8.1.4 DNS問題類型 117
8.2 捕獲DNS數據包 117
8.3 分析DNS數據包 121
8.3.1 DNS報文格式 121
8.3.2 分析DNS數據包 122
第9章 HTTP協議抓包分析 127
9.1 HTTP協議概述 127
9.1.1 什么是HTTP 127
9.1.2 HTTP請求方法 127
9.1.3 HTTP工作流程 128
9.1.4 持久連接和非持久連接 128
9.2 捕獲HTTP數據包 130
9.2.1 使用捕獲過濾器 130
9.2.2 顯示過濾HTTP協議包 132
9.2.3 導出數據包 136
9.3 分析HTTP數據包 141
9.3.1 HTTP報文格式 141
9.3.2 HTTP的頭域 142
9.3.3 分析GET方法的HTTP數據包 144
9.3.4 分析POST方法的HTTP數據包 147
9.4 顯示捕獲文件的原始內容 151
9.4.1 安裝Xplico 151
9.4.2 解析HTTP包 151
第10章 HTTPS協議抓包分析 159
10.1 HTTPS協議概述 159
10.1.1 什么是HTTPS協議 159
10.1.2 HTTP和HTTPS協議的差別 159
10.1.3 HTTPS工作流程 160
10.2 SSL概述 160
10.2.1 什么是SSL 160
10.2.2 SSL工作流程 161
10.2.3 SSL協議的握手過程 161
10.3 捕獲HTTPS數據包 162
10.3.1 使用捕獲過濾器 162
10.3.2 顯示過濾數據包 164
10.4 分析HTTPS數據包 167
10.4.1 client發出請求(Client Hello) 168
10.4.2 server響應(Server Hello) 171
10.4.3 證書信息 172
10.4.4 密鑰交換 174
10.4.5 應用層信息通信 175
第11章 FTP協議抓包分析 177
11.1 FTP協議概述 177
11.1.1 什么是FTP協議 177
11.1.2 FTP的工作流程 177
11.1.3 FTP經常使用控制命令 178
11.1.4 應答格式 179
11.2 捕獲FTP協議數據包 181
11.3 分析FTP協議數據包 184
11.3.1 分析控制連接的數據 184
11.3.2 分析數據連接的數據 185
第12章 電子郵件抓包分析 190
12.1 郵件系統工作原理 190
12.1.1 什么郵件client 190
12.1.2 郵件系統的組成及傳輸過程 190
12.2 郵件相關協議概述 191
12.2.1 SMTP協議 191
12.2.2 POP協議 193
12.2.3 IMAP協議 194
12.3 捕獲電子郵件數據包 195
12.3.1 Wireshark捕獲位置 195
13.3.2 Foxmail郵件client的使用 196
13.3.3 捕獲電子郵件數據包 198
12.4 分析發送郵件的數據包 200
12.4.1 分析SMTP工作流程 201
12.4.2 查看郵件內容 202
12.5 分析接收郵件的數據包 203
12.5.1 分析POP工作流程 203
12.5.2 查看郵件內容 206
第13章 操作系統啟動過程抓包分析 207
13.1 操作系統概述 207
13.2 捕獲操作系統啟動過程產生的數據包 208
13.3 分析數據包 210
13.3.1 獲取IP地址 210
13.3.2 增加組播組 211
13.3.3 發送NBNS協議包 212
13.3.4 ARP協議包的產生 213
13.3.5 訪問共享資源 213
13.3.6 開機自己主動執行的程序 213