Wireshark 網絡分析從入門到實踐
內容描述
Wireshark是一款開源網絡協議分析器,能夠在多種平臺(例如Windows、Linux和Mac)上抓取和分析網絡包。本書將通過圖文並茂的形式來幫助讀者瞭解並掌握Wireshark的使用技巧。
本書由網絡安全領域資深的高校教師編寫完成,集合了豐富的案例,並配合了簡潔易懂的講解方式。全書共分17章,從Wireshark的下載和安裝開始講解,陸續介紹了數據包的過濾機制、捕獲文件的打開與保存、虛擬網絡環境的構建、常見網絡設備、Wireshark的部署方式、網絡延遲的原因、網絡故障的原因,並介紹了多種常見的攻擊方式及應對策略,除此之外,本書還講解瞭如何擴展Wireshark的功能以及Wireshark中的輔助工具。
本書實用性較強,適合網絡安全滲透測試人員、運維工程師、網絡管理員、電腦相關專業的學生以及各類安全從業者參考閱讀。
目錄大綱
第1章走進Wireshark 1
1.1 Wireshark是什麼2
1.1.1 Wireshark的功能2
1.1.2 Wireshark的歷史3
1.1.3 Wireshark的工作原理3
1.1.4 Wireshark的優勢4
1.2如何下載和安裝Wireshark 6
1.2. 1安裝前的準備6
1.2.2下載Wireshark 6
1.2.3 Wireshark的安裝7
1.3一次完整的Wireshark使用過程8
1.3.1選擇合適的網卡9
1.3.2開始數據包的捕獲10
1.3.3過濾無用的數據14
1.3.4將捕獲到的數據包保存到文件18
1.4小結19
第2章過濾無用的數據包20
2.1伯克利包過濾21
2.2捕獲過濾器23
2.3顯示過濾器25
2.3.1使用過濾器輸入框創建顯示過濾器25
2.3.2使用過濾器表達式創建顯示過濾器26
2.3.3在數據包細節面板中創建顯示過濾器28
2.4小結29
第3章捕獲文件的打開與保存30
3.1捕獲接口的輸出功能30
3.2環狀緩衝區33
3.3捕獲接口的其他功能33
3.3.1顯示選項33
3.3.2解析名稱34
3.3.3自動停止捕獲35
3.4保存捕獲到的數據35
3.5保存顯示過濾器37
3.6保存配置文件39
3.7小結42
第4章虛擬網絡環境的構建43
4.1虛擬網絡設備的構建工具eNSP 43
4.1.1 eNSP的下載與安裝44
4.1.2使用eNSP創建一個實驗環境48
4.2虛擬PC的工具VMware 51
4.3在虛擬環境中引入Kali Linux 2 52
4.4在虛擬環境中安裝其他操作系統57
4.5 eNSP與VMware的連接58
4.5.1 VMware中的網絡連接58
4.5.2通過eNSP中的雲與VMware相連60
4.6小結65
第5章各種常見的網絡設備66
5.1網線66
5.2集線器69
5.3交換機71
5.4路由器的工作原理77
5.5小結78
第6章Wireshark的部署方式79
6.1完成遠程數據包捕獲79
6.2集線器環境84
6.3交換環境84
6.3.1端口鏡像85
6.3.2 ARP欺騙88
6.3.3網絡分路器90
6.4完成本地流量的捕獲91
6.5完成虛擬機流量的捕獲92
6.6小結94
第7章找到網絡發生延遲的位置95
7.1建立一個可訪問遠程HTTP服務器的仿真網絡95
7.2觀察遠程訪問HTTP的過程100
7.3時間顯示設置103
7.4各位置延遲時間的計算107
7.4.1網絡傳輸延遲的計算108
7.4.2客戶端延遲的計算109
7.4 .3服務端延遲的計算109
7.5小結110
第8章分析不能上網的原因111
8.1建立一個用於測試的仿真網絡111
8.2可能導致不能上網的原因113
8.3檢查計算機的網絡設置113
8.3.1確保網卡正常啟動113
8.3.2檢查IP配置的正確性114
8.3.3檢查與網關的連接是否正常120
8.3.4獲取域名服務器的IP地址121
8.4檢查網絡路徑的連通性122
8.5其他情形124
8.6小結125
第9章來自鏈路層的攻擊——失常的交換機126
9.1針對交換機的常見攻擊方式127
9.1.1 MAC地址欺騙攻擊127
9.1.2 MAC地址泛洪攻擊128
9.1.3 STP操縱攻擊128
9.1.4廣播風暴攻擊129
9.2使用Wireshark分析針對交換機的攻擊129
9.2.1統計功能130
9.2.2 MAC地址泛洪攻擊134
9.2.3找到攻擊的源頭135
9.3使用macof發起MAC地址泛洪攻擊137
9.4如何防禦MAC地址泛洪攻擊138
9.5小結139
第10章來自網絡層的欺騙——中間人攻擊140
10.1中間人攻擊的相關理論140
10.1.1 ARP協議的相關理論141
10.1.2 ARP欺騙的原理146
10.2使用專家系統分析中間人攻擊146
10.3如何發起中間人攻擊150
10.3.1使用arpspoof來發起攻擊150
10.3.2使用Wireshark來發起攻擊153
10.4如何防禦中間人攻擊154
10.4.1靜態綁定ARP表項154
10.4.2使用DHCP Snooping功能154
10.4.3劃分VLAN 155
10.5小結155
第11章來自網絡層的攻擊——淚滴攻擊156
11.1淚滴攻擊的相關理論156
11.1.1 IP協議的格式157
11.1.2 IP分片158
11.1.3淚滴攻擊161
11.2 Wireshark的著色規則162
11.3根據TTL值判斷攻擊的來源166
11.4小結168
第12章來自傳輸層的洪水攻擊( 1)——SYN Flooding 169
12.1拒絕服務攻擊的相關理論170
12.1.1 TCP連接的建立方式170
12.1.2 SYN flooding攻擊173
12.2模擬SYN flooding攻擊173
12.2.1構造一個仿真環境173
12.2.2使用Hping3發起SYN flooding攻擊174
12.3使用Wireshark的流向圖功能來分析SYN flooding攻擊175
12.4如何解決SYN Flooding拒絕服務攻擊177
12.5在Wireshark中顯示地理位置178
12.6小結184
第13章網絡在傳輸什麼——數據流功能185
13.1 TCP的數據傳輸185
13.2 Wireshark中的TCP流功能187
13.3網絡取證實踐192
13.4小結198
第14章來自傳輸層的洪水攻擊(2)——UDP Flooding 199
14.1 UDP Flooding的相關理論199
14.1.1 UDP協議199
14.1.2 UDP Flooding攻擊200
14.2模擬UDP Flooding攻擊201
14.3使用Wireshark的繪圖功能來分析UDP Flooding攻擊201
14.4如何防禦UDP Flooding攻擊207
14.5 amCharts的圖表功能209
14.6小結214
第15章來自應用層的攻擊——緩衝區溢出215
15.1緩衝區溢出攻擊的相關理論215
15.1.1 Wireshark觀察下的HTTP協議216
15.1.2 HTTP的請求與應答216
15.1.3 HTTP的常用方法217
15.1.4 HTTP中常用的過濾器217
15.2模擬緩衝區溢出攻擊218
15.3使用Wireshark分析緩衝區溢出攻擊222
15.4使用Wireshark檢測遠程控制227
15.5 Wireshark對HTTPS協議的解析230
15.6小結232
第16章擴展Wireshark的功能233
16.1 Wireshark編程開發的基礎233
16.1.1 Wireshark中對Lua的支持234
16.1.2 Wireshark中Lua的初始化235
16.2使用Lua開發簡單擴展功能235
16.3用Wireshark開發新的協議解析器236
16.3.1新協議的註冊236
16.3.2解析器的編寫239
16.4測試新協議241
16.5編寫惡意攻擊數據包檢測模塊245
16.6小結248
第17章Wireshark中的輔助工具249
17.1 Wireshark命令行工具249
17.2 Tshark.exe的使用方法250
17.3 Dumpcap的用法252
17.4 Editcap的使用方法253
17.5 Mergecap的使用方法254
17.6 capinfos的使用方法255
17.7 USBPcapCMD的使用方法256
17.8小結258
作者介紹
李華峰,信息安全顧問和自由撰稿人,多年來一直從事網絡安全滲透測試方面的研究工作。在網絡安全部署、網絡攻擊與防禦以及社會工程學等方面有十分豐富的實踐經驗。
陳虹,出身於美術專業的程序開發者。雖然在畫室長大,卻是實實在在的編程愛好者。目前正在從事軟件設計工作。