前言



第1篇 Wireshark 應用篇

Chapter 01 ? Wireshark 的基礎知識

1.1 Wireshark 的功能

1.2 安裝Wireshark

1.3 Wireshark 捕捉資料

1.4 認識資料封包

1.5 捕捉HTTP 封包

1.6 存取Wireshark 資源?

1.7 Wireshark 快速入門

1.8 分析網路資料?

1.9 開啟其他工具捕捉的檔案?

Chapter 02 ? 設定Wireshark 視圖

2.1 設定Packet List 面板列?

2.2 Wireshark 分析器及Profile 設定

2.3 資料封包時間延遲?

Chapter 03 ? 捕捉篩檢程式技巧

3.1 捕捉篩檢程式簡介

3.2 選擇捕捉位置

3.3 選擇捕捉介面?

3.4 捕捉乙太網資料

3.5 捕捉無線資料

3.6 處理大數據

3.7 處理隨機發生的問題

3.8 捕捉以MAC/IP 位址為基礎資料

3.9 捕捉通訊埠應用程式資料

3.10 捕捉特定ICMP 資料

Chapter 04 ? 顯示技巧

4.1 顯示篩檢程式簡介

4.2 使用顯示篩檢程式

4.3 編輯和使用預設顯示篩檢程式?

4.4 過濾顯示HTTP

4.5 過濾顯示DHCP

4.6 根據地址過濾顯示?

4.7 過濾顯示單一的TCP/UDP 階段

4.8 使用複雜運算式過濾?

4.9 發現通訊延遲

4.10 設定顯示篩檢程式按鈕

Chapter 05 ? 著色規則和資料封包匯出

5.1 認識著色規則

5.2 禁用著色規則?

5.3 建立使用者著色規則

5.4 匯出資料封包

Chapter 06 ? 構建圖表

6.1 資料統計表

6.2 協定分層統計

6.3 圖表化顯示頻寬使用情況

6.4 專家資訊

6.5 建置各種網路錯誤圖表

Chapter 07 ?重組資料

7.1 重組Web 階段

7.2 重組FTP 階段

Chapter 08 ? 新增註釋

8.1 捕捉檔案註釋?

8.2 封包注釋?

8.3 匯出封包註釋

Chapter 09 ?捕捉、分割和合併資料

9.1 將大檔案分割為檔案集

9.2 合併多個捕捉檔案

9.3 命令列捕捉資料

9.4 匯出欄位值和統計資訊



第2篇 網路通訊協定分析篇

Chapter 10 ? ARP 協定封包截取分析

10.1 ARP 基礎知識

10.2 捕捉ARP 協定封包

10.3 分析ARP 協定封包

Chapter 11 ? 網際網路協定（IP）封包截取分析

11.1 網際網路協定（IP）概述?

11.2 捕捉IP 資料封包

11.3 IP 資料封包表頭格式

11.4 分析IP 資料封包

Chapter 12 ? UDP 協定封包截取分析

12.1 UDP 協定概述

12.2 捕捉UDP 資料封包

12.3 分析UDP 資料封包

Chapter 13 ? TCP 協定封包截取分析

13.1 TCP 協定概述

13.2 捕捉TCP 資料封包

13.3 TCP 資料封包分析

Chapter 14 ? ICMP 協定封包截取分析

14.1 ICMP 協定概述

14.2 捕捉ICMP 協定封包

14.3 分析ICMP 資料封包

Chapter 15 ? DHCP 資料封包截取分析

15.1 DHCP 概述?

15.2 DHCP 資料封包截取

15.3 DHCP 資料封包分析

Chapter 16 ? DNS 封包截取分析

16.1 DNS 概述

16.2 捕捉DNS 資料封包

16.3 分析DNS 資料封包

Chapter 17 ? HTTP 協定封包截取分析

17.1 HTTP 協定概述

17.2 捕捉HTTP 資料封包?

17.3 分析HTTP 資料封包

17.4 顯示捕捉檔案的原始內容

Chapter 18 ? HTTPS 協定封包截取分析

18.1 HTTPS 協定概述

18.2 SSL 概述

18.3 捕捉HTTPS 資料封包

18.4 分析HTTPS 資料封包

Chapter 19 ? FTP 協定封包截取分析

19.1 FTP 協定概述

19.2 捕捉FTP 協定資料封包?

19.3 分析FTP 協定資料封包

Chapter 20 ? 電子郵件封包截取分析

20.1 郵件系統工作原理

20.2 郵件相關協定概述

20.3 捕捉電子郵件資料封包

20.4 分析發送郵件的資料封包?

20.5 分析接收郵件的資料封包



第3篇 實戰篇

Chapter 21 ? 作業系統啟動過程封包截取分析

21.1 作業系統概述

21.2 捕捉作業系統啟動過程產生的資料封包

21.3 分析資料封包

Chapter 22 在Linux 及Mac OS 下安裝Wireshark

22.1 在Linux 下安裝Wireshark?

22.2 在Mac OS 下安裝wireshark?

22.3 新版wireshark 的新功能

前言



　　網路的普及給人們的生活帶來了相當大的便利，同時網路的安全問題也成為公眾熱點。網路資料封包截取和分析作為網路管理和監控最有效的措施，越來越受到網路管理人員和網路安全人員的重視。



　　Wireshark為開放原始碼的專業資料封包截取和分析工具，深受業內人士歡迎。它提供強大的資料抓取功能和豐富的資料分析方式。面對Wireshark強大的功能和巨量的資料封包，初學者常常無從下手。



　　筆者結合網路資料傳輸及安全方面存在的各種問題，經過分析及歸納，撰寫了本書。本書透過專業的資料封包截取流程，逐步說明Wireshark各項強大的功能。同時，以Wireshark抓取為基礎的資料封包，以層層剝繭的形式，說明常見的各種網路通訊協定，讀者可以更直接地掌握各種協定類型的資料封包。



　　透過本書的學習，讀者不僅可以輕鬆掌握Wireshark的使用，踏入網路資料分析的大門，還可以更為直觀地了解TCP/IP各個協定，以及這些協定在資料套件中的表現。掌握這些技術，再加以充分的練習，就可以輕鬆應對網路資料分析等各項工作。



　　本書特色



　　1．內容全面、系統、深入

　　本書介紹了Wireshark的基礎知識、捕捉篩檢程式和顯示篩檢程式的使用、對資料封包進行匯出或重組等。然後，介紹了使用Wireshark對各種協定的詳細分析。最後，還詳細分析了作業系統啟動過程的資料封包。



　　2．接近實際，專業說明

　　本書按照Wireshark專業使用流程，對其功能進行詳細說明，幫助讀者掌握最高效的資料封包截取、分析技術，以解決各種複雜的網路問題。同時，針對圍繞巨量資料封包處理問題，本書詳細介紹相關技術，如抓取篩檢程式、顯示篩檢程式、運算規則等功能。



　　3．直觀說明網路通訊協定

　　對於網路資料封包有關的網路通訊協定，本書給以最直觀的說明。首先分析協定的工作原理以及相關資料封包的組成，然後對照Wireshark資料封包視圖進行逐筆比對，幫助讀者以最直觀的形式學習和掌握各個網路通訊協定。



　　4．提供多種學習和交流的方式

　　為了方便大家學習和交流，我們提供多種方式。讀者可以在book@wanjuanchina.net獲得幫助。



　　本書內容及系統結構



　　第1篇Wireshark應用篇（第1∼9章）

　　本篇主要內容包含：Wireshark的基礎知識、設定Wireshark視圖、捕捉篩檢程式技巧、顯示篩檢程式技巧、運算規則和資料封包匯出、建置圖表、重組資料、增加註釋等。透過本篇的學習，讀者可以掌握Wireshark的基本操作，靈活地使用捕捉篩檢程式和顯示篩檢程式，並可以對Wireshark中的資料進行重組建置圖表等。



　　第2篇網路通訊協定分析篇（第10∼20章）

　　本篇主要內容包含：ARP協定封包截取分析、網際網路協定（IP）封包截取分析、UDP協定封包截取分析、TCP協定封包截取分析、ICMP協定封包截取分析、DHCP資料封包截取分析、DNS封包截取分析、HTTP協定封包截取分析、HTTPS協定封包截取分析、FTP協定封包截取分析和電子郵件封包截取分析。透過本篇的學習，讀者可以掌握TCP/IP協定族中每層中包含的協定、協定的格式及傳輸的資料等。



　　第3篇實戰篇（第21~22章）

　　本篇主要內容包含：作業系統啟動過程封包截取分析。透過本篇的學習，讀者可以掌握一個作業系統啟動過程中會自動開啟哪些服務、取得位址的過程及啟動的一些應用程式等。



　　本書適合讀者群

　　Wireshark初學者；

　　想全面學習Wireshark的人員；

　　各種興趣同好；

　　網路系統管理員；

　　專業的安全滲透測試人員；

　　大專院校的學生；

　　補習班學生。



　　本書作者

　　本書由王曉卉、李亞偉撰寫，王曉卉負責撰寫第1∼9章，李亞偉負責撰寫第10∼21章，胡嘉璽負責撰寫第22章。其他參與撰寫的人員有陳剛、陳世瓊、黃點點、黃海力、黃紹斌、蔣春蕾、李國良、李俊娜、李曉娜、劉永純、王書勇、王挺、王文強、張偉、張小華、胡丹萍、王以榮、徐陽。



　　最後祝各位讀者讀書快樂！