Wireshark数据抓包分析——网络协议篇

               Wireshark数据抓包分析——网络协议篇

   

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvZGF4dWViYQ==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">

           

    Wireshark是眼下最受欢迎的抓包工具。

它能够执行在Windows、Linux及MAC OS X操作系统中，并提供了友好的图形界面。同一时候，Wireshark提供功能强大的数据抓包功能。使用它。能够以各种方式抓取用户所须要的网络数据包。

    可是用户往往无法从数据包中直接获取所须要的数据。这是因为全部的信息在传输过程中。都会被依照各种网络协议进行封装。

用户想要从海量的数据抓包中获取的实用的信息，必须了解各种常见的网络协议。为了方便用户对数据包的分析，本书具体介绍了经常使用的各种网络协议，如ARP、IP、TCP、UDP、ICMP、DHCP、DNS、HTTP、HTTPS、FTP、SMTP、POP3等。

试读文档下载：http://pan.baidu.com/s/1qWM70dQ

目  录

第1章  网络协议抓包概述 1

1.1  数据抓包工具 1

1.1.1  数据抓包原理 1

1.1.2  经常使用数据抓包工具–Wireshark 1

1.2  安装Wireshark 2

1.2.1  安装到Windows系统 2

1.2.2  安装到Linux系统 6

1.3  网络协议原理 7

1.3.1  什么是网络协议 7

1.3.2  OSI七层模型 7

1.3.3  TCP/IP协议族 8

1.3.4  数据封装 9

第2章  ARP协议抓包分析 11

2.1  ARP基础知识 11

2.1.1  什么是ARP 11

2.1.2  ARP工作流程 11

2.1.3  ARP缓存表 12

2.2  捕获ARP协议包 15

2.2.1  Wireshark位置 15

2.2.2  使用捕获过滤器 15

2.3  分析ARP协议包 17

2.3.1  ARP报文格式 17

2.3.2  ARP请求包 18

2.3.3  ARP响应包 20

第3章  互联网协议（IP）抓包分析 21

3.1  互联网协议（IP）概述 21

3.1.1  互联网协议地址（IP地址）的由来 21

3.1.2  IP地址 22

3.1.3  IP地址的构成 23

3.2  捕获IP数据包 23

3.2.1  什么是IP数据报 24

3.2.2  Wireshark位置 24

3.2.3  捕获IP数据包 25

3.2.4  捕获IP分片数据包 27

3.3  IP数据报首部格式 29

3.3.1  存活时间TTL 30

3.3.2  IP分片 31

3.4  分析IP数据包 32

3.4.1  分析IP首部 32

3.4.2  分析IP数据包中TTL的变化 33

3.4.3  IP分片数据包分析 36

第4章  UDP协议抓包分析 42

4.1  UDP协议概述 42

4.1.1  什么是UDP协议 42

4.1.2  UDP协议的特点 42

4.2  捕获UDP数据包 43

4.3  分析UDP数据包 45

4.3.1  UDP首部格式 46

4.3.2  分析UDP数据包 46

第5章  TCP协议抓包分析 48

5.1  TCP协议概述 48

5.1.1  TCP协议的由来 48

5.1.2  TCPport 48

5.1.3  TCP三次握手 49

5.1.4  TCP四次断开 51

5.1.4  TCP重置 51

5.2  捕获TCP数据包 52

5.2.1  使用捕获过滤器 52

5.2.2  使用显示过滤器 54

5.2.3  使用着色规则 56

5.3  TCP数据包分析 61

5.3.1  TCP首部 62

5.3.2  分析TCP的三次握手 63

5.3.3  分析TCP的四次断开 68

5.3.4  分析TCP重置数据包 74

第6章  ICMP协议抓包分析 77

6.1  ICMP协议概述 77

6.1.1  什么是ICMP协议 77

6.1.2  学习ICMP的重要性 77

6.1.3  Echo请求与响应 77

6.1.4  路由跟踪 78

6.2  捕获ICMP协议包 78

6.2.1  捕获正常ICMP数据包 78

6.2.2  捕获请求超时的数据包 80

6.2.3  捕获目标主机不可达的数据包 82

6.3  分析ICMP数据包 84

6.3.1  ICMP首部 84

6.3.2  分析ICMP数据包–Echo Ping请求包 85

6.3.3  分析ICMP数据包–Echo Ping响应包 86

6.3.4  分析ICMP数据包–请求超时数据包 88

6.3.5  分析ICMP数据包–目标主机不可达的数据包 90

第7章  DHCP数据抓包分析 92

7.1  DHCP概述 92

7.1.1  什么是DHCP 92

7.1.2  DHCP的作用 92

7.1.3  DHCP工作流程 93

7.2  DHCP数据抓包 95

7.2.1  Wireshark位置 95

7.2.2  使用捕获过滤器 96

7.2.3  过滤显示DHCP 100

7.3  DHCP数据包分析 102

7.3.1  DHCP报文格式 103

7.3.2  DHCP报文类型 104

7.3.3  发现数据包 104

7.3.4  响应数据包 106

7.3.5  请求数据包 108

7.3.6  确认数据包 111

第8章  DNS抓包分析 114

8.1  DNS概述 114

8.1.1  什么是DNS 114

8.1.2  DNS的系统结构 114

8.1.3  DNS系统解析过程 115

8.1.4  DNS问题类型 117

8.2  捕获DNS数据包 117

8.3  分析DNS数据包 121

8.3.1  DNS报文格式 121

8.3.2  分析DNS数据包 122

第9章  HTTP协议抓包分析 127

9.1  HTTP协议概述 127

9.1.1  什么是HTTP 127

9.1.2  HTTP请求方法 127

9.1.3  HTTP工作流程 128

9.1.4  持久连接和非持久连接 128

9.2  捕获HTTP数据包 130

9.2.1  使用捕获过滤器 130

9.2.2  显示过滤HTTP协议包 132

9.2.3  导出数据包 136

9.3  分析HTTP数据包 141

9.3.1  HTTP报文格式 141

9.3.2  HTTP的头域 142

9.3.3  分析GET方法的HTTP数据包 144

9.3.4  分析POST方法的HTTP数据包 147

9.4  显示捕获文件的原始内容 151

9.4.1  安装Xplico 151

9.4.2  解析HTTP包 151

第10章  HTTPS协议抓包分析 159

10.1  HTTPS协议概述 159

10.1.1  什么是HTTPS协议 159

10.1.2  HTTP和HTTPS协议的差别 159

10.1.3  HTTPS工作流程 160

10.2  SSL概述 160

10.2.1  什么是SSL 160

10.2.2  SSL工作流程 161

10.2.3  SSL协议的握手过程 161

10.3  捕获HTTPS数据包 162

10.3.1  使用捕获过滤器 162

10.3.2  显示过滤数据包 164

10.4  分析HTTPS数据包 167

10.4.1  client发出请求（Client Hello） 168

10.4.2  server响应（Server Hello） 171

10.4.3  证书信息 172

10.4.4  密钥交换 174

10.4.5  应用层信息通信 175

第11章  FTP协议抓包分析 177

11.1  FTP协议概述 177

11.1.1  什么是FTP协议 177

11.1.2  FTP的工作流程 177

11.1.3  FTP经常使用控制命令 178

11.1.4  应答格式 179

11.2  捕获FTP协议数据包 181

11.3  分析FTP协议数据包 184

11.3.1  分析控制连接的数据 184

11.3.2  分析数据连接的数据 185

第12章  电子邮件抓包分析 190

12.1  邮件系统工作原理 190

12.1.1  什么邮件client 190

12.1.2  邮件系统的组成及传输过程 190

12.2  邮件相关协议概述 191

12.2.1  SMTP协议 191

12.2.2  POP协议 193

12.2.3  IMAP协议 194

12.3  捕获电子邮件数据包 195

12.3.1  Wireshark捕获位置 195

13.3.2  Foxmail邮件client的使用 196

13.3.3  捕获电子邮件数据包 198

12.4  分析发送邮件的数据包 200

12.4.1  分析SMTP工作流程 201

12.4.2  查看邮件内容 202

12.5  分析接收邮件的数据包 203

12.5.1  分析POP工作流程 203

12.5.2  查看邮件内容 206

第13章  操作系统启动过程抓包分析 207

13.1  操作系统概述 207

13.2  捕获操作系统启动过程产生的数据包 208

13.3  分析数据包 210

13.3.1  获取IP地址 210

13.3.2  增加组播组 211

13.3.3  发送NBNS协议包 212

13.3.4  ARP协议包的产生 213

13.3.5  訪问共享资源 213

13.3.6  开机自己主动执行的程序 213