Wireshark網絡分析實戰（第2版）

第1章　Wireshark版本2簡介 1
1．1　Wireshark版本2基礎知識　1
1．2　安置Wireshark　2
1．3　在虛擬機器上抓包　11
1．4　開始抓包　17
1．5　配置啟動視窗　29

第2章 熟練使用Wireshark排除網路故障　37
2．1　概述　37
2．2　配置使用者介面及全域、協定參數　38
2．3　抓包文件的導入和匯出　48
2．4　調整資料包的配色規則　52
2．5　配置時間參數　54
2．6　構建排障使用的配置範本　56

第3章　抓包篩檢程式的用法　60
3．1　簡介　60
3．2　配置抓包篩檢程式　61
3．3　配置Ethernet篩檢程式　65
3．4　配置主機和網路篩檢程式　68
3．5　配置TCP / UDP及埠篩檢程式　72
3．6　配置複合型篩檢程式　76
3．7　配置位元元元組偏移和淨載匹配型篩檢程式　77

第4章　顯示篩檢程式的用法　82
4．1　顯示篩檢程式簡介　82
4．2　配置顯示篩檢程式　83
4．3　配置Ethernet、ARP、主機和網路篩檢程式　92
4．4　配置TCP/UDP篩檢程式　97
4．5　配置指定協定類型的篩檢程式　103
4．6　配置位元元元組偏移型篩檢程式　106
4．7　配置顯示篩檢程式巨集　107

第5章　基本資訊統計工具的用法　109
5．1　簡介　109
5．2　Statistics功能表中Capture File Properties工具的用法　110
5．3　Statistics功能表中Resolved Addresses工具的用法　112
5．4　Statistics功能表中Protocol Hierarchy工具的用法　113
5．5　Statistics功能表中Conversations工具的用法　117
5．6　Statistics功能表中Endpoints工具的用法　122
5．7　Statistics功能表中HTTP工具的用法　126
5．8　配置Flow Graph（資料流程圖），查看TCP流　130
5．9　生成與IP屬性有關的統計資訊　132

第6章　高級資訊統計工具的用法　136
6．1　簡介　136
6．2　配置支援顯示篩檢程式的I/O Graphs工具，來定位與網路性能有關的問題　137
6．3　用IO Graphs工具測量鏈路的輸送量　142
6．4　啟用Y軸其他參數的I/O Graphs工具的高級用法　150
6．5　TCP Stream Graphs功能表項目中Time-Sequence（Stevens）子功能表項的用法　158
6．6　TCP Stream Graphs功能表項目中Time-Sequence（tcptrace）子功能表項的用法　164
6．7　TCP Stream Graphs功能表項目中Throughput Graph子功能表項的用法　170
6．8　TCP Stream Graphs功能表項目中Round Trip Time Graph子功能表項的用法　172
6．9　TCP Stream Graphs功能表項目中Window Scaling Graph子功能表項的用法　175

第7章　Expert Information工具的用法　177
7．1　簡介　177
7．2　如何使用Expert Information工具排障網路故障　178
7．3　認識Error事件　185
7．4　認識Warning事件　187
7．5　認識Note事件　190

第8章　Ethernet和LAN交換　193
8．1　簡介　193
8．2　發現廣播和錯包風暴　193
8．3　生成樹協定故障分析　200
8．4　VLAN和VLAN tagging故障分析　209

第9章　無線LAN　214
9．1　學習目標　214
9．2　認識無線網路及其標準　214
9．3　無線網路射頻故障、故障分析及故障排除　217
9．4　無線LAN抓包　223

第10章 網路層協定及其運作方式　230
10．1　簡介　230
10．2　IPv4位址解析通訊協定的運作方式及故障排除　233
10．3　ICMP協定的運作方式及故障分析/排除　240
10．4　IPv4單播路由選擇的運作方式及故障分析　245
10．5　與IPv4資料包分片有關的故障分析　249
10．6　IPv4多播路由選擇運作原理　254
10．7　IPv6協議的運作原理　256
10．8　IPv6擴展頭部　259
10．9　ICMPv6協定的運作方式及故障分析/排除　263
10．10　IPv6位元元址自動配置特性　265
10．11　基於DHCPv6的位址分配　269
10．12　IPv6鄰居發現協定的運作原理和故障分析　274

第11章 傳輸層協議分析　279
11．1　簡介　279
11．2　UDP的運作原理　280
11．3　UDP協定分析和故障排除　281
11．4　TCP的運作原理　284
11．5　排除TCP連通性故障　285
11．6　解決TCP重傳問題　292
11．7　TCP滑動視窗機制　302
11．8　對TCP的改進—選擇性ACK和時間戳記選項　307
11．9　排除與TCP的資料傳輸輸送量有關的故障　313

第12章 FTP、HTTP/1和HTTP/2　317
12．1　介紹　317
12．2　FTP故障分析　318
12．3　篩選HTTP流量　323
12．4　配置Preferences視窗中Protocols選項下的HTTP協定參數　327
12．5　HTTP故障分析　330
12．6　匯出HTTP對象　336
12．7　HTTP資料流程分析　338
12．8　HTTPS協議流量分析—SSL/TLS基礎　340

第13章 DNS協議分析　348
13．1　簡介　348
13．2　分析DNS資源記錄類型　349
13．3　分析DNS的常規運作機制　354
13．4　分析DNSSEC的常規運作機制　361
13．5　排除DNS故障　365

第14章 E-mail協議分析　368
14．1　簡介　368
14．2　E-mail協定的常規運作方式　369
14．3　POP、IMAP和SMTP故障分析　379
14．4　分析E-mail協定的錯誤狀態碼，並據此篩選E-mail流量　383
14．5　分析惡意及垃圾郵件　389

第15章 NetBIOS和SMB協議分析　392
15．1　介紹　392
15．2　認識NetBIOS協定　393
15．3　認識SMB協定　394
15．4　NetBIOS/SMB協定故障分析　394
15．5　資料庫流量及常見故障分析　401
15．6　匯出SMB對象　405

第16章 企業網應用程式列為分析　407
16．1　簡介　407
16．2　摸清流淌於網路中的流量的類型　407
16．3　Microsoft終端伺服器和Citrix故障分析　410
16．4　資料庫流量及常見故障分析　414
16．5　SNMP流量分析　417

第17章 排除SIP、多媒體及IP電話故障　419
17．1　簡介　419
17．2　IP電話技術的原理及常規運作方式　420
17．3　SIP的運作原理、消息及錯誤代碼　427
17．4　IP上的視頻和RTSP　437
17．5　Wireshark的RTP流分析和過濾功能　443
17．6　Wireshark的VoIP呼叫重放功能　446

第18章 排除由低頻寬或高延遲所引發的故障　448
18．1　簡介　448
18．2　測量網路頻寬及應用程式生成的流量速率　449
18．3　借助Wireshark來獲知鏈路的延遲及抖動狀況　454
18．4　分析網路瓶頸、問題及故障排除　457

第19章 網路安全和網路取證　461
19．1　簡介　461
19．2　發現異常流量模式　462
19．3　發現基於MAC位址和基於ARP的攻擊　466
19．4　發現ICMP和TCP SYN/埠掃描　468
19．5　發現DoS和DDoS攻擊　475
19．6　發現高級TCP攻擊　478
19．7　發現針對某些應用程式的暴力破解攻擊　481