Wireshark 可能是世界上最受欢迎的网络数据包分析器,用于对各种技术的网络和应用协议进行故障排除和分析。Wireshark 是免费的、开源的,可用于 Windows、Mac OS X、Linux 和几个类似 Unix 的平台,并且由最初的开发者 Gerald Combs 和 500 多名代码贡献者不断改进和扩展。
Wireshark 具有丰富的功能集,包括捕获、保存和导入各种格式的数据包文件的能力。它提供了广泛的过滤功能、详细的协议信息、统计数据以及内置的分析和数据包着色功能,帮助您识别和分析重要事件。任何愿意花一点时间学习 Wireshark 的基本功能以及如何解释相对较少的核心网络和应用协议的人都可以使用这种强大的分析功能。
本书旨在不仅向网络工程师和管理员,而且向应用开发人员、数据库设计人员和管理员、服务器管理员和 IT 安全专业人员介绍 Wireshark 和基本的数据包分析技术。它还为他们提供了有效利用 Wireshark 所需的基本知识和实践示例,以便他们能够在日常工作中进行数据包级分析。
应用开发人员可以使用 Wireshark 查看和了解其代码中进行网络调用的例程如何转换为请求/响应数据包,检查这些数据包中与应用相关的数据字段的结构,并验证这些调用是否有效,以及是否按照预期的方式工作。
数据库设计人员和管理员可以利用 Wireshark 提供的数据包详细信息来检查数据包携带的查询和响应,并检查它们是否有效。在事务性查询中,是否有许多小的请求/响应周期可以被更少、更高效的请求所取代,从而提高性能?
在几乎所有的 IT 领域,服务器处理时间都是性能相关问题中的一个重要因素和争论点。这本书将向您展示使用 Wireshark 在数据包级别识别和测量服务器处理时间是多么容易,在这一级别没有争议的证据。
IT 安全专业人员固有地利用协议级参数来配置防火墙和入侵检测及防御设备,但他们可能缺乏自信地自己建立和验证这些因素的技能,而是依赖他人提供这一关键输入。假设安全专业人员有能力检查数据包捕获,以识别、表征和防范恶意流量,花一点时间阅读本书将为掌握这一基本技能打开大门。
最后,网络支持人员几乎每天都需要排除奇怪的连接或缓慢的网络问题。他们需要数据包级分析提供的可见性和证据,不仅可以保护他们的领域,还可以帮助识别和解决真正的问题;这通常是永久关闭暖气的唯一方法。良好的 Wireshark 技能是这些人的必备技能。
本书的重点是教您如何在各自的领域内熟练掌握基本的 Wireshark 技能。乍看之下,看着屏幕上充满了看似无穷无尽的各种各样和来源的数据包可能会非常吓人,但在学习了本书中提供的概念之后,实际上很容易分离出与感兴趣的领域相关的数据包并过滤掉所有其他内容,建立对数据包流和事件序列的高级理解,然后找到并检查解决手头问题的正确数据包和数据字段。
学习如何使用 Wireshark 的另一个好处是加深了对网络和应用实际工作方式的理解,这对您工作的所有其他方面都有帮助。我相信,学习 Wireshark 和数据包分析技能所需的少量时间投资将会带来巨大的回报。
第一章,熟悉 Wireshark ,从第一步开始。这一介绍性章节将通过安装 Wireshark 并做一些有趣而有用的事情,帮助您快速开始熟练掌握 Wireshark,例如执行数据包捕获、隔离和过滤一些感兴趣的流量,以及在深入了解更多细节和后面章节中的支持概念之前保存跟踪文件。
第 2 章,面向数据包分析人员的网络,概述了网络技术、包括 IP、UDP 和 TCP 在内的基本网络协议,以及最常见的协议如何在 OSI 和 DARPA 模型级别中相互配合。本章的目标是为网络和协议如何协同工作建立一个良好的心理模型,让你自信而有效地进行包级分析。
第 3 章、捕获所有正确的数据包,详细介绍了如何在网络中正确定位 Wireshark 并对其进行配置以捕获所需的数据包,如何识别感兴趣的网络对话并应用显示过滤器来隔离这些数据包,最后保存过滤后的文件以供进一步分析。这些是支持实用数据包分析的基本技能。
第 4 章,配置 Wireshark ,提供了许多可以配置和使用的功能,以提高分析活动的准确性和易用性。显示和解释数据包时间戳的各种方法尤其重要,我们将全面介绍这些主题,以及其他基本配置选项、数据包列表颜色以帮助识别重要事件,以及如何在定制的配置文件中保存不同的配置,这些配置文件可以针对各种分析任务进行定制和选择。
第 5 章、网络协议,涵盖了您应该熟悉的许多其他基本且有用的网络协议,包括 ICMP、DNS、DHCP、互联网协议版本 6 (IPv6)的介绍性回顾,以及一个示例应用层协议(HTTP)。我们还将讨论基本的 Wireshark 捕获和显示过滤器。
第 6 章、故障排除和性能分析,提供将您的新技能和协议知识应用于 Wireshark 开发的主要目的的方法:故障排除和分析网络和应用问题及性能。我们将讨论性能低下的主要原因,以及如何使用 Wireshark 来检测和测量它们。
第 7 章、针对安全任务的数据包分析,介绍如何使用 Wireshark 来检测和分析可疑流量,例如扫描和清扫、操作系统指纹识别、格式错误的数据包、呼叫总部流量以及其他可能表明恶意来源的异常数据包和模式。
第 8 章、命令行和其他实用工具,介绍了 Wireshark 提供的一些最有用的命令行实用工具,用于以最少的资源执行数据包捕获和操作数据包跟踪文件。我们还将讨论一些其他工具,它们可以帮助您完善您的数据包分析工具集。
要完成这些任务并重复本书中提供的示例,您只需要一台可以安装和使用 Wireshark 的计算机,以及一个连接到家庭或企业网络的有线局域网。
虽然您可以从无线接口进行捕获,但是无线管理帧的额外开销可能会造成分析负担和干扰,因此从有线网络开始对您的学习体验会更好。
就背景知识而言,如果您涉足 IT 行业的某个方面,您可能至少对分组级分析中使用的常见概念和术语有一些基本的了解,例如交换机、路由器、分组、协议、TCP/IP 和 HTTP,但是假设您对网络和应用协议只有基本的了解。
本书面向希望发展或增强 Wireshark 技能以扩展其故障排除和分析能力并增加其在工作场所中的价值的广大 IT 专业人员:网络设计人员和管理员、应用开发人员和支持人员、数据库设计人员和管理员、IT 安全专业人员以及在当今日益网络化的世界中其工作职责包括支持信息技术的任何其他人。
在这本书里,你会发现许多区分不同类型信息的文本风格。以下是这些风格的一些例子,并解释了它们的含义。
文本中的码字、数据库表名、文件夹名、文件名、文件扩展名、路径名、伪 URL、用户输入和 Twitter 句柄如下所示:“目标主机的 IP 地址是10.1.1.125。”
代码块设置如下:
(tcp.flags&02 && tcp.seq==0) || (tcp.flags&12 && tcp.seq==0) || (tcp.flags.ack && tcp.seq==1 && !tcp.nxtseq > 0 && !tcp.ack >1) || tcp.flags.fin == 1 || tcp.flags.reset ==1
任何命令行输入或输出都按如下方式编写:
dumpcap -i 2 -f "host 192.168.1.115" -w capture.pcapng
新术语和重要词汇以粗体显示。你在屏幕上看到的单词,例如在菜单或对话框中看到的单词,出现在文本中如下:“这个字段大致相当于 IPv4 中的生存时间字段;每个转发 IPv6 数据包的设备都会将它递减 1。
警告或重要提示出现在这样的框中。
提示和技巧是这样出现的。
我们随时欢迎读者的反馈。让我们知道你对这本书的看法——你喜欢或不喜欢什么。读者的反馈对我们开发出你真正能从中获益最多的图书非常重要。
要向我们发送总体反馈,只需发送电子邮件至<[feedback@packtpub.com](mailto:feedback@packtpub.com)>,并在邮件主题中提及书名。
如果有一个你擅长的主题,并且你有兴趣写一本书或者为一本书投稿,请查看我们在www.packtpub.com/authors的作者指南。
既然您已经是 Packt book 的骄傲拥有者,我们有许多东西可以帮助您从购买中获得最大收益。
尽管我们已尽一切努力确保内容的准确性,但错误还是会发生。如果您在我们的某本书中发现了错误——可能是文本或代码中的错误——如果您能向我们报告,我们将不胜感激。这样做,你可以让其他读者免受挫折,并帮助我们改进本书的后续版本。如果您发现任何勘误表,请通过访问http://www.packtpub.com/submit-errata,选择您的图书,点击勘误表 提交 表格链接,并输入您的勘误表的详细信息。一旦您的勘误表得到验证,您的提交将被接受,该勘误表将被上传到我们的网站上,或添加到现有勘误表的任何列表中,位于该标题的勘误表部分。从http://www.packtpub.com/support选择你的标题可以查看任何现有的勘误表。
互联网上版权材料的盗版是所有媒体中持续存在的问题。在 Packt,我们非常重视版权和许可证的保护。如果您在互联网上发现我们作品的任何形式的非法拷贝,请立即向我们提供地址或网站名称,以便我们采取补救措施。
请通过<[copyright@packtpub.com](mailto:copyright@packtpub.com)>联系我们,并提供可疑盗版材料的链接。
我们感谢您帮助保护我们的作者,以及我们为您带来有价值内容的能力。
如果您对这本书的任何方面有问题,可以通过<[questions@packtpub.com](mailto:questions@packtpub.com)>联系我们,我们会尽最大努力解决。