WIRESHARK网络分析实战(第2版)

第 1章　Wireshark版本2简介 1

1.1　Wireshark版本2基础知识　1

1.2　安置Wireshark　2

1.3　在虚拟机上抓包　11

1.4　开始抓包　17

1.5　配置启动窗口　29

第　2章 熟练使用Wireshark排除网络故障　37

2.1　概述　37

2.2　配置用户界面及全局、协议参数　38

2.3　抓包文件的导入和导出　48

2.4　调整数据包的配色规则　52

2.5　配置时间参数　54

2.6　构建排障使用的配置模板　56

第3章　抓包过滤器的用法　60

3.1　简介　60

3.2　配置抓包过滤器　61

3.3　配置Ethernet过滤器　65

3.4　配置主机和网络过滤器　68

3.5　配置TCP / UDP及端口过滤器　72

3.6　配置复合型过滤器　76

3.7　配置字节偏移和净载匹配型过滤器　77

第4章　显示过滤器的用法　82

4.1　显示过滤器简介　82

4.2　配置显示过滤器　83

4.3　配置Ethernet、ARP、主机和网络过滤器　92

4.4　配置TCP/UDP过滤器　97

4.5　配置指定协议类型的过滤器　103

4.6　配置字节偏移型过滤器　106

4.7　配置显示过滤器宏　107

第5章　基本信息统计工具的用法　109

5.1　简介　109

5.2　Statistics菜单中Capture File Properties工具的用法　110

5.3　Statistics菜单中Resolved Addresses工具的用法　112

5.4　Statistics菜单中Protocol Hierarchy工具的用法　113

5.5　Statistics菜单中Conversations工具的用法　117

5.6　Statistics菜单中Endpoints工具的用法　122

5.7　Statistics菜单中HTTP工具的用法　126

5.8　配置Flow Graph（数据流图），查看TCP流　130

5.9　生成与IP属性有关的统计信息　132

第6章　高级信息统计工具的用法　136

6.1　简介　136

6.2　配置支持显示过滤器的I/O Graphs工具，来定位与网络性能有关的问题　137

6.3　用IO Graphs工具测量链路的吞吐量　142

6.4　启用Y轴其他参数的I/O Graphs工具的高级用法　150

6.5　TCP Stream Graphs菜单项中Time-Sequence（Stevens）子菜单项的用法　158

6.6　TCP Stream Graphs菜单项中Time-Sequence（tcptrace）子菜单项的用法　164

6.7　TCP Stream Graphs菜单项中Throughput Graph子菜单项的用法　170

6.8　TCP Stream Graphs菜单项中Round Trip Time Graph子菜单项的用法　172

6.9　TCP Stream Graphs菜单项中Window Scaling Graph子菜单项的用法　175

第7章　Expert Information工具的用法　177

7.1　简介　177

7.2　如何使用Expert Information工具排障网络故障　178

7.3　认识Error事件　185

7.4　认识Warning事件　187

7.5　认识Note事件　190

第8章　Ethernet和LAN交换　193

8.1　简介　193

8.2　发现广播和错包风暴　193

8.3　生成树协议故障分析　200

8.4　VLAN和VLAN tagging故障分析　209

第9章　无线LAN　214

9.1　学习目标　214

9.2　认识无线网络及其标准　214

9.3　无线网络射频故障、故障分析及故障排除　217

9.4　无线LAN抓包　223

第　10章 网络层协议及其运作方式　230

10.1　简介　230

10.2　IPv4地址解析协议的运作方式及故障排除　233

10.3　ICMP协议的运作方式及故障分析/排除　240

10.4　IPv4单播路由选择的运作方式及故障分析　245

10.5　与IPv4数据包分片有关的故障分析　249

10.6　IPv4多播路由选择运作原理　254

10.7　IPv6协议的运作原理　256

10.8　IPv6扩展头部　259

10.9　ICMPv6协议的运作方式及故障分析/排除　263

10.10　IPv6地址自动配置特性　265

10.11　基于DHCPv6的地址分配　269

10.12　IPv6邻居发现协议的运作原理和故障分析　274

第　11章 传输层协议分析　279

11.1　简介　279

11.2　UDP的运作原理　280

11.3　UDP协议分析和故障排除　281

11.4　TCP的运作原理　284

11.5　排除TCP连通性故障　285

11.6　解决TCP重传问题　292

11.7　TCP滑动窗口机制　302

11.8　对TCP的改进—选择性ACK和时间戳选项　307

11.9　排除与TCP的数据传输吞吐量有关的故障　313

第　12章 FTP、HTTP/1和HTTP/2　317

12.1　介绍　317

12.2　FTP故障分析　318

12.3　筛选HTTP流量　323

12.4　配置Preferences窗口中Protocols选项下的HTTP协议参数　327

12.5　HTTP故障分析　330

12.6　导出HTTP对象　336

12.7　HTTP数据流分析　338

12.8　HTTPS协议流量分析—SSL/TLS基础　340

第　13章 DNS协议分析　348

13.1　简介　348

13.2　分析DNS资源记录类型　349

13.3　分析DNS的常规运作机制　354

13.4　分析DNSSEC的常规运作机制　361

13.5　排除DNS故障　365

第　14章 E-mail协议分析　368

14.1　简介　368

14.2　E-mail协议的常规运作方式　369

14.3　POP、IMAP和SMTP故障分析　379

14.4　分析E-mail协议的错误状态码，并据此筛选E-mail流量　383

14.5　分析恶意及垃圾邮件　389

第　15章 NetBIOS和SMB协议分析　392

15.1　介绍　392

15.2　认识NetBIOS协议　393

15.3　认识SMB协议　394

15.4　NetBIOS/SMB协议故障分析　394

15.5　数据库流量及常见故障分析　401

15.6　导出SMB对象　405

第　16章 企业网应用程序行为分析　407

16.1　简介　407

16.2　摸清流淌于网络中的流量的类型　407

16.3　Microsoft终端服务器和Citrix故障分析　410

16.4　数据库流量及常见故障分析　414

16.5　SNMP流量分析　417

第　17章 排除SIP、多媒体及IP电话故障　419

17.1　简介　419

17.2　IP电话技术的原理及常规运作方式　420

17.3　SIP的运作原理、消息及错误代码　427

17.4　IP上的视频和RTSP　437

17.5　Wireshark的RTP流分析和过滤功能　443

17.6　Wireshark的VoIP呼叫重放功能　446

第　18章 排除由低带宽或高延迟所引发的故障　448

18.1　简介　448

18.2　测量网络带宽及应用程序生成的流量速率　449

18.3　借助Wireshark来获知链路的延迟及抖动状况　454

18.4　分析网络瓶颈、问题及故障排除　457

第　19章 网络安全和网络取证　461

19.1　简介　461

19.2　发现异常流量模式　462

19.3　发现基于MAC地址和基于ARP的攻击　466

19.4　发现ICMP和TCP SYN/端口扫描　468

19.5　发现DoS和DDoS攻击　475

19.6　发现高级TCP攻击　478

19.7　发现针对某些应用程序的暴力破解攻击　481