Wireshark是目前最受欢迎的抓包工具。它可以运行在Windows、Linux及MAC OS X操作系统中,并提供了友好的图形界面。同时,Wireshark提供功能强大的数据抓包功能。使用它,可以以各种方式抓取用户所需要的网络数据包。
但是用户往往无法从数据包中直接获取所需要的数据。这是由于所有的信息在传输过程中,都会被按照各种网络协议进行封装。用户想要从海量的数据抓包中获取的有用的信息,必须了解各种常见的网络协议。为了方便用户对数据包的分析,本书详细介绍了常用的各种网络协议,如ARP、IP、TCP、UDP、ICMP、DHCP、DNS、HTTP、HTTPS、FTP、SMTP、POP3等。
试读文档下载:http://pan.baidu.com/s/1qWM70dQ
目 录
第1章 网络协议抓包概述 1
1.1 数据抓包工具 1
1.1.1 数据抓包原理 1
1.1.2 常用数据抓包工具–Wireshark 1
1.2 安装Wireshark 2
1.2.1 安装到Windows系统 2
1.2.2 安装到Linux系统 6
1.3 网络协议原理 7
1.3.1 什么是网络协议 7
1.3.2 OSI七层模型 7
1.3.3 TCP/IP协议族 8
1.3.4 数据封装 9
第2章 ARP协议抓包分析 11
2.1 ARP基础知识 11
2.1.1 什么是ARP 11
2.1.2 ARP工作流程 11
2.1.3 ARP缓存表 12
2.2 捕获ARP协议包 15
2.2.1 Wireshark位置 15
2.2.2 使用捕获过滤器 15
2.3 分析ARP协议包 17
2.3.1 ARP报文格式 17
2.3.2 ARP请求包 18
2.3.3 ARP响应包 20
第3章 互联网协议(IP)抓包分析 21
3.1 互联网协议(IP)概述 21
3.1.1 互联网协议地址(IP地址)的由来 21
3.1.2 IP地址 22
3.1.3 IP地址的构成 23
3.2 捕获IP数据包 23
3.2.1 什么是IP数据报 24
3.2.2 Wireshark位置 24
3.2.3 捕获IP数据包 25
3.2.4 捕获IP分片数据包 27
3.3 IP数据报首部格式 29
3.3.1 存活时间TTL 30
3.3.2 IP分片 31
3.4 分析IP数据包 32
3.4.1 分析IP首部 32
3.4.2 分析IP数据包中TTL的变化 33
3.4.3 IP分片数据包分析 36
第4章 UDP协议抓包分析 42
4.1 UDP协议概述 42
4.1.1 什么是UDP协议 42
4.1.2 UDP协议的特点 42
4.2 捕获UDP数据包 43
4.3 分析UDP数据包 45
4.3.1 UDP首部格式 46
4.3.2 分析UDP数据包 46
第5章 TCP协议抓包分析 48
5.1 TCP协议概述 48
5.1.1 TCP协议的由来 48
5.1.2 TCP端口 48
5.1.3 TCP三次握手 49
5.1.4 TCP四次断开 51
5.1.4 TCP重置 51
5.2 捕获TCP数据包 52
5.2.1 使用捕获过滤器 52
5.2.2 使用显示过滤器 54
5.2.3 使用着色规则 56
5.3 TCP数据包分析 61
5.3.1 TCP首部 62
5.3.2 分析TCP的三次握手 63
5.3.3 分析TCP的四次断开 68
5.3.4 分析TCP重置数据包 74
第6章 ICMP协议抓包分析 77
6.1 ICMP协议概述 77
6.1.1 什么是ICMP协议 77
6.1.2 学习ICMP的重要性 77
6.1.3 Echo请求与响应 77
6.1.4 路由跟踪 78
6.2 捕获ICMP协议包 78
6.2.1 捕获正常ICMP数据包 78
6.2.2 捕获请求超时的数据包 80
6.2.3 捕获目标主机不可达的数据包 82
6.3 分析ICMP数据包 84
6.3.1 ICMP首部 84
6.3.2 分析ICMP数据包–Echo Ping请求包 85
6.3.3 分析ICMP数据包–Echo Ping响应包 86
6.3.4 分析ICMP数据包–请求超时数据包 88
6.3.5 分析ICMP数据包–目标主机不可达的数据包 90
第7章 DHCP数据抓包分析 92
7.1 DHCP概述 92
7.1.1 什么是DHCP 92
7.1.2 DHCP的作用 92
7.1.3 DHCP工作流程 93
7.2 DHCP数据抓包 95
7.2.1 Wireshark位置 95
7.2.2 使用捕获过滤器 96
7.2.3 过滤显示DHCP 100
7.3 DHCP数据包分析 102
7.3.1 DHCP报文格式 103
7.3.2 DHCP报文类型 104
7.3.3 发现数据包 104
7.3.4 响应数据包 106
7.3.5 请求数据包 108
7.3.6 确认数据包 111
第8章 DNS抓包分析 114
8.1 DNS概述 114
8.1.1 什么是DNS 114
8.1.2 DNS的系统结构 114
8.1.3 DNS系统解析过程 115
8.1.4 DNS问题类型 117
8.2 捕获DNS数据包 117
8.3 分析DNS数据包 121
8.3.1 DNS报文格式 121
8.3.2 分析DNS数据包 122
第9章 HTTP协议抓包分析 127
9.1 HTTP协议概述 127
9.1.1 什么是HTTP 127
9.1.2 HTTP请求方法 127
9.1.3 HTTP工作流程 128
9.1.4 持久连接和非持久连接 128
9.2 捕获HTTP数据包 130
9.2.1 使用捕获过滤器 130
9.2.2 显示过滤HTTP协议包 132
9.2.3 导出数据包 136
9.3 分析HTTP数据包 141
9.3.1 HTTP报文格式 141
9.3.2 HTTP的头域 142
9.3.3 分析GET方法的HTTP数据包 144
9.3.4 分析POST方法的HTTP数据包 147
9.4 显示捕获文件的原始内容 151
9.4.1 安装Xplico 151
9.4.2 解析HTTP包 151
第10章 HTTPS协议抓包分析 159
10.1 HTTPS协议概述 159
10.1.1 什么是HTTPS协议 159
10.1.2 HTTP和HTTPS协议的区别 159
10.1.3 HTTPS工作流程 160
10.2 SSL概述 160
10.2.1 什么是SSL 160
10.2.2 SSL工作流程 161
10.2.3 SSL协议的握手过程 161
10.3 捕获HTTPS数据包 162
10.3.1 使用捕获过滤器 162
10.3.2 显示过滤数据包 164
10.4 分析HTTPS数据包 167
10.4.1 客户端发出请求(Client Hello) 168
10.4.2 服务器响应(Server Hello) 171
10.4.3 证书信息 172
10.4.4 密钥交换 174
10.4.5 应用层信息通信 175
第11章 FTP协议抓包分析 177
11.1 FTP协议概述 177
11.1.1 什么是FTP协议 177
11.1.2 FTP的工作流程 177
11.1.3 FTP常用控制命令 178
11.1.4 应答格式 179
11.2 捕获FTP协议数据包 181
11.3 分析FTP协议数据包 184
11.3.1 分析控制连接的数据 184
11.3.2 分析数据连接的数据 185
第12章 电子邮件抓包分析 190
12.1 邮件系统工作原理 190
12.1.1 什么邮件客户端 190
12.1.2 邮件系统的组成及传输过程 190
12.2 邮件相关协议概述 191
12.2.1 SMTP协议 191
12.2.2 POP协议 193
12.2.3 IMAP协议 194
12.3 捕获电子邮件数据包 195
12.3.1 Wireshark捕获位置 195
13.3.2 Foxmail邮件客户端的使用 196
13.3.3 捕获电子邮件数据包 198
12.4 分析发送邮件的数据包 200
12.4.1 分析SMTP工作流程 201
12.4.2 查看邮件内容 202
12.5 分析接收邮件的数据包 203
12.5.1 分析POP工作流程 203
12.5.2 查看邮件内容 206
第13章 操作系统启动过程抓包分析 207
13.1 操作系统概述 207
13.2 捕获操作系统启动过程产生的数据包 208
13.3 分析数据包 210
13.3.1 获取IP地址 210
13.3.2 加入组播组 211
13.3.3 发送NBNS协议包 212
13.3.4 ARP协议包的产生 213
13.3.5 访问共享资源 213
13.3.6 开机自动运行的程序 213