《Wireshark数据包分析实战详解》王晓卉，李亚伟编著 清华大学出版社 2015/3/1

内容简介：

　　《Wireshark数据包分析实战详解》由浅入深，全面系统地介绍了Wireshark数据抓包和数据包分析。本书提供了大量实例，供读者实战演练Wireshark的各项功能。同时，对抓取的数据包按照协议层次，逐层讲解各个协议在数据包中的体现。这样，读者就可以掌握数据包抓取到信息获取的每个环节。　　《Wireshark数据包分析实战详解》共分3篇。第1篇介绍Wireshark的各项功能，包括基础知识、Wireshark的定制、捕获过滤器和显示过滤器的使用、数据包的着色、导出和重组等；第2篇介绍基于Wireshark对TCP/IP协议族中常用协议的详细分析，如ARP、IP、UDP、TCP、HTTP、HTTPS和FTP等；第3篇介绍借助Wireshark分析操作系统启动过程中的网络通信情况。　　《Wireshark数据包分析实战详解》涉及面广，内容包括工具使用、网络协议和应用。本书适合各类读者群体，如想全面学习Wireshark的初学者、网络管理员、渗透测试人员及网络安全专家等。对于网络数据分析人士，本书更是一本不可多得的案头必备参考书。

目录：

　　第1章 Wireshark的基础知识
　　Wireshark（前称Ethereal）是一个网络包分析工具。该工具主要是用来捕获网络包，并显示包的详细情况。本章将介绍Wireshark的基础知识。
　　1.1 Wireshark的功能
　　在学习Wireshark之前，首先介绍一下它的功能。了解它的功能，可以帮助用户明确借助该工具能完成哪些工作。本节将介绍Wireshark的基本功能。
　　1.1.1 Wireshark主窗口界面
　　在学习使用Wireshark之前，首先需要了解该工具主窗口界面中每部分的作用。Wireshark主窗口界面如图1.1所示。
　　图1.1 Wireshark主窗口界面
　　在图1.1中，以编号的形式已将Wireshark主窗口每部分标出。下面分别介绍每部分的含义，如下所示。
　　① 标题栏——用于显示文件名称、捕获的设备名称和Wireshark版本号。
　　② 菜单栏——Wireshark的标准菜单栏。
　　③ 工具栏——常用功能快捷图标按钮。
　　④ 显示过滤区域——减少查看数据的复杂度。
　　⑤ Packet List面板——显示每个数据帧的摘要。
　　⑥ Packet Details面板——分析封包的详细信息。
　　⑦ Packet Bytes面板——以十六进制和ASCII格式显示数据包的细节。
　　⑧ 状态栏——专家信息、注释、包数和Profile。
　　1.1.2 Wireshark的作用
　　Wireshark是一个广受欢迎的网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包，并尽可能显示出最为详细的网络数据包数据。它是一个最知名的开源应用程序安全工具。Wireshark可以运行在Windows、MAC OS X、Linux和UNIX操作系统上，它甚至可以作为一个Portable App运行。本小节将介绍Wireshark的常用功能。使用Wireshark可以快速分析一些任务，如下所示。
　　1. 一般分析任务
　　找出在一个网络内发送数据包最多的主机。
　　查看网络通信。
　　查看某个主机使用了哪些程序。
　　基本正常的网络通信。
　　验证特有的网络操作。
　　了解尝试连接无线网络的用户。
　　同时捕获多个网络的数据。
　　实施无人值守数据捕获。
　　捕获并分析到/来自一个特定主机或子网的数据。
　　通过FTP或HTTP查看和重新配置文件传输。
　　从其他捕获工具导入跟踪文件。
　　使用最少的资源捕获数据。
　　2. 故障任务
　　为故障创建一个自定义的分析环境。
　　确定路径、客户端和服务延迟。
　　确定TCP问题。
　　检查HTTP代理问题。
　　检查应用程序错误响应。
　　通过查看图形显示的结果，找出相关的网络问题。
　　确定重载的缓冲区。
　　比较缓慢的通信到正常通信的一个基准。
　　找出重复的IP地址。
　　确定DHCP服务或网络代理问题。
　　确定WLAN信号强度问题。
　　检测WLAN连接的次数。
　　检查各种网络配置错误。
　　确定应用程序正在加载一个网络片段。
　　3. 安全分析（网络取证）任务
　　为网络取证创建一个自定义分析环境。
　　检查使用非标准端口的应用程序。
　　确定到/来自可疑主机的数据。
　　查看哪台主机正在尝试获取一个IP地址。
　　确定phone home数据。
　　确定网络侦查过程。
　　全球定位和映射远程目标地址。
　　检查可疑数据重定向。
　　检查单个TCP或UDP客户端和服务器之间的会话。
　　检查到恶意畸形的帧。
　　在网络数据中找出攻击签名的关键因素。
　　4. 应用程序分析任务
　　了解应用程序和协议如何工作。
　　了解图形应用程序的带宽使用情况。
　　确定是否将支持应用程序的链接。
　　更新/升级后检查应用程序性能。
　　从一个新安装的应用程序中检查错误响应。
　　确定哪个用户正在运行一个特定的应用程序。
　　检查应用程序如何使用传输协议，如TCP或UDP。
　　……