1.这是一本好用的工具书 对于对于网络运维人员、网络安全人员，WireShark是非常好的网络分析工具，这本优秀的基础工具书正是目前大家需要的。本书内容由浅入深，案例环环相扣，同时配备完整的代码资源，适合读者边学边练，从实践中夯实基础，掌握实践技能。 2.带读者体验身临其境的网络分析 本书系统地将WireShark与虚拟网络环境（ENSP）相结合，将WireShark的应用提升到真正实践的层面，可以帮助那些无法拥有真实网络设备的读者建立虚拟环境，从而降低学习者的门槛。除此之外，本书还采用Lua语言，扩展了Wireshark的功能。 3.这是一本经得起实践考验的教程 除此之外，本书的作者是拥有丰富经验高校教师，多年来培育了大量的网络安全方向工作人员，拥有多年的网络安全一线教学与实践经验，让你读书犹如老师在身边一对一地讲解。

　　内容简介Wireshark是一款开源网络协议分析器，能够在多种平台（例如Windows、Linux和Mac）上抓取和分析网络包。本书将通过图文并茂的形式来帮助读者了解并掌握Wireshark的使用技巧。 本书由网络安全领域资深的高校教师编写完成，集合了丰富的案例，并配合了简洁易懂的讲解方式。全书共分17章，从Wireshark的下载和安装开始讲解，陆续介绍了数据包的过滤机制、捕获文件的打开与保存、虚拟网络环境的构建、常见网络设备、Wireshark的部署方式、网络延迟的原因、网络故障的原因，并介绍了多种常见的攻击方式及应对策略，除此之外，本书还讲解了如何扩展Wireshark的功能以及Wireshark中的辅助工具。 本书实用性较强，适合网络安全渗透测试人员、运维工程师、网络管理员、计算机相关专业的学生以及各类安全从业者参考阅读。

　　李华峰，信息安全顾问和自由撰稿人，多年来一直从事网络安全渗透测试方面的研究工作。在网络安全部署、网络攻击与防御以及社会工程学等方面有十分丰富的实践经验。 陈虹，出身于美术专业的程序开发者。虽然在画室长大，却是实实在在的编程爱好者。目前正在从事软件设计工作。

版权信息
前言
目标读者
如何阅读本书
第1章 走进Wireshark
1.1 Wireshark是什么
1.2 如何下载和安装Wireshark
1.3 一次完整的Wireshark使用过程
1.4 小结
第2章 过滤无用的数据包
2.1 伯克利包过滤
2.2 捕获过滤器
2.3 显示过滤器
2.4 小结
第3章 捕获文件的打开与保存
3.1 捕获接口的输出功能
3.2 环状缓冲区
3.3 捕获接口的其他功能
3.4 保存捕获到的数据
3.5 保存显示过滤器
3.6 保存配置文件
3.7 小结
第4章 虚拟网络环境的构建
4.1 虚拟网络设备的构建工具eNSP
4.2 虚拟PC的工具VMware
4.3 在虚拟环境中引入Kali Linux 2
4.4 在虚拟环境中安装其他操作系统
4.5 eNSP与VMware的连接
4.6 小结
第5章 各种常见的网络设备
5.1 网线
5.2 集线器
5.3 交换机
5.4 路由器的工作原理
5.5 小结
第6章 Wireshark的部署方式
6.1 完成远程数据包捕获
6.2 集线器环境
6.3 交换环境
6.4 完成本地流量的捕获
6.5 完成虚拟机流量的捕获
6.6 小结
第7章 找到网络发生延迟的位置
7.1 建立一个可访问远程HTTP服务器的仿真网络
7.2 观察远程访问HTTP的过程
7.3 时间显示设置
7.4 各位置延迟时间的计算
7.5 小结
第8章 分析不能上网的原因
8.1 建立一个用于测试的仿真网络
8.2 可能导致不能上网的原因
8.3 检查计算机的网络设置
8.4 检查网络路径的连通性
8.5 其他情形
8.6 小结
第9章 来自链路层的攻击——失常的交换机
9.1 针对交换机的常见攻击方式
9.2 使用Wireshark分析针对交换机的攻击
9.3 使用macof发起MAC地址泛洪攻击
9.4 如何防御MAC地址泛洪攻击
9.5 小结
第10章 来自网络层的欺骗——中间人攻击
10.1 中间人攻击的相关理论
10.2 使用专家系统分析中间人攻击
10.3 如何发起中间人攻击
10.4 如何防御中间人攻击
10.5 小结
第11章 来自网络层的攻击——泪滴攻击
11.1 泪滴攻击的相关理论
11.2 Wireshark的着色规则
11.3 根据TTL值判断攻击的来源
11.4 小结
第12章 来自传输层的洪水攻击（1）——SYN Flooding
12.1 拒绝服务攻击的相关理论
12.2 模拟SYN flooding攻击
12.3 使用Wireshark的流向图功能来分析SYN flooding攻击
12.4 如何解决SYN Flooding拒绝服务攻击
12.5 在Wireshark中显示地理位置
12.6 小结
第13章 网络在传输什么——数据流功能
13.1 TCP的数据传输
13.2 Wireshark中的TCP流功能
13.3 网络取证实践
13.4 小结
第14章 来自传输层的洪水攻击（2）——UDP Flooding
14.1 UDP Flooding的相关理论
14.2 模拟UDP Flooding攻击
14.3 使用Wireshark的绘图功能来分析UDP Flooding攻击
14.4 如何防御UDP Flooding攻击
14.5 amCharts的图表功能
14.6 小结
第15章 来自应用层的攻击——缓冲区溢出
15.1 缓冲区溢出攻击的相关理论
15.2 模拟缓冲区溢出攻击
15.3 使用Wireshark分析缓冲区溢出攻击
15.4 使用Wireshark检测远程控制
15.5 Wireshark对HTTPS协议的解析
15.6 小结
第16章 扩展Wireshark的功能
16.1 Wireshark编程开发的基础
16.2 使用Lua开发简单扩展功能
16.3 用Wireshark开发新的协议解析器
16.4 测试新协议
16.5 编写恶意攻击数据包检测模块
16.6 小结
第17章 Wireshark中的辅助工具
17.1 Wireshark命令行工具
17.2 Tshark.exe的使用方法
17.3 Dumpcap的用法
17.4 Editcap的使用方法
17.5 Mergecap的使用方法
17.6 capinfos的使用方法
17.7 USBPcapCMD的使用方法
17.8 小结

　　前言
　　数百年前显微镜的发明为人类探索微观世界开启了一扇大门，而如今，Wireshark的出现则为我们观察网络世界打开了另一扇大门。作为世界上最为流行的数据包分析软件， Wireshark拥有着其他同类工具所不能比拟的强大优势。无论你是一个刚刚开始接触计算机网络知识的大学生，还是一个已经拥有多年从业经验的工程师，Wireshark都可以为你带来极大的帮助。很多国内外的知名企业也将Wireshark的使用技能明确写入了招聘的要求之中。
　　在开始写作本书之前，我曾经翻译和编写了一些网络安全方面的书籍。这些书籍介绍了很多常见的网络攻击手段，读者在掌握了这些技能之后，大都对其实现细节产生了兴趣。例如到底为什么Nmap可以扫描出目标主机的状态，以及为什么中间人攻击就可以监听网络中的通信，泛洪攻击又是如何实现的呢？这些攻击的手段各种各样，实现这些攻击的工具也大都采用了不同的语言，这些都为我们的学习带来了很大的困难。不过，任何的网络攻击行为最终都是通过发送数据包来实现的，如果我们从数据包这个层次来分析问题，一切就会清晰起来。
　　虽然此前国内外已经有了很多关于Wireshark的优秀书籍，但是它们大都着眼于网络故障的排除，并没有涉及Wireshark的另外一个重要领域——网络安全。而本书以此作为研究的重点，讲述了如何使用Wireshark来分析常见的网络攻击手段，并根据它们的特点给出了解决方案。
　　目标读者
　　本书的目标读者如下：
　　•网络安全渗透测试人员；
　　•运维工程师；
　　•网络管理员和企业网管；
　　•计算机相关专业的学生；
　　•网络安全设备设计与安全软件开发人员；
　　•安全课程培训人员。
　　如何阅读本书
　　全书分为6个部分共16章，其中前3章为第1部分，主要讲解了Wireshark的基本使用方法；第4章～第6章为第2部分，主要讲解了eNSP的使用以及网络的一些知识。第7章和第8章为第3部分，讲解了常见网络故障的排除。而第9章～第15章为本书最为重要的部分，主要讲解了如何使用Wireshark来分析各种常见的网络攻击，这些内容按照链路层、网络层、传输层和应用层这个顺序来介绍。最后两章讲解了一些Wireshark的扩展功能和辅助工具。
　　第1章“走进Wireshark”，这一章对Wireshark的功能和工作原理进行了简单的介绍，然后讲解了Wireshark的下载和安装过程。本章最后演示了一个Wireshark的使用实例，这个实例虽然很简单，但是却包含了完整的使用过程。
　　第2章“过滤无用的数据包”，详细地讲解了Wireshark中对数据包的过滤机制，这里面包括捕获过滤器和显示过滤器的使用方法。
　　第3章“捕获文件的打开与保存”，讲解了Wireshark中的各种保存功能，包括对数据包捕获文件保存位置和格式的设置，对过滤器的保存，对配置文件的保存。
　　第4章“虚拟网络环境的构建”，讲解了eNSP和VMWare两种工具的使用。在它们的帮助下，我们可以模拟出各种和真实环境一模一样的网络结构，并以此来进行练习。
　　第5章“各种常见的网络设备”，介绍了网络中常见的几种硬件，并给出了一些实例。了解这些硬件可以更好地帮助我们使用Wireshark。
　　第6章“Wireshark的部署方式”，讲解了如何在各种网络情况下进行Wireshark的部署。
　　第7章“找到网络发生延迟的位置”，从这一章起我们开始了对网络实际问题的分析。本章就延迟位置的确定进行了讲解，并在这个实例中穿插讲解了Wireshark中的时间设置。
　　第8章“分析不能上网的原因”，在这一章中，我们就“不能上网”这个问题进行了分析，在问题分析过程中使用到了很多Wireshark的技巧。
　　第9章“来自链路层的攻击——失常的交换机”，从这一章起，我们开始了对网络安全问题的分析。围绕着交换机面临的典型攻击手段——Mac泛洪攻击，给出了详细的介绍。首先从一个案例开始，对案例中的数据包文件进行了分析和总结，进一步得出了这种攻击的特点，最后给出了这种攻击手段的实现和解决方案。
　　第10章“来自网络层的欺骗——中间人攻击”，对第ARP欺骗技术进行了讲解。ARP欺骗技术是中间人攻击的实现基础，这一章从ARP欺骗的原理开始讲解，并在Wireshark的帮助下对ARP欺骗进行了深入的分析。同时还介绍了Wireshark中的强大工具——专家系统的使用方法。最后给出了如何完成ARP欺骗，以及如何防御这种攻击的方法。
　　第11章“来自网络层的攻击——泪滴攻击”，讲解了针对IP协议的一种典型攻击手段：泪滴攻击。首先讲解了IP协议的格式，然后介绍了IP协议的一个重要概念：分片。同时也详细讲解了基于这种技术的攻击手段——泪滴攻击。这一章还介绍了Wireshark的着色规则，只需查看数据包的颜色，就可以判断出它的类型。在本章的最后，介绍了IP协议头中一个很有用的字段TTL。
　　第12章“来自传输层的洪水攻击（1）——SYN Flooding”，介绍了针对服务器的攻击方式——SYN Flooding攻击。并在Kali Linux2平台中演示了如何进行这种攻击，同时也使用Wireshark的流量图对这种攻击进行了分析。
　　第13章“网络在传输什么——数据流功能”，在这一章中，介绍了TCP数据的传输，并详细讲解了Wireshark中的数据流功能，利用这个功能可以监控整个网络中传输的文件。本章最后给出了一个非常优秀的Wireshark学习资源。
　　第14章“来自传输层的洪水攻击（2）——UDP Flooding”，这一章讲解了UDP Flooding攻击的原理与实现方法，并使用Wireshark中的图表功能对这种攻击的技术进行了分析。最后重点介绍了Wireshark中自带的图表功能以及amCharts的使用方法。
　　第15章“来自应用层的攻击——缓冲区溢出”，这一章介绍了一种全新的攻击方式——缓冲区溢出，它的攻击建立在应用层的协议上。本章首先介绍了HTTP协议，然后模拟了一次缓冲区溢出的攻击过程。在这个实例中还介绍了数据包的查找功能。在最后介绍了如何使用Wireshark来分析http协议的升级版https协议。
　　第16章“扩展Wireshark的功能”，这一章介绍了如何在Wireshark中编写插件，这个功能在实际应用中相当有用，相关的实例都采用了Lua语言编写。
　　第17章“Wireshark中的辅助工具”，介绍了Wireshark中常见的各种工具，包括Tshark、Dumpcap、Editcap、Mergecap、Capinfo和USBPcapCMD等工具的功能和使用方法。
　　大家可以根据自己的需求选择阅读的侧重点，不过我还是推荐按照顺序来阅读，这样可以对Wireshark的使用有一个清晰的认识，同时也可以深入了解网络中常见的攻击方法。
　　资源与支持
　　本书由异步社区出品，社区（https://www.epubit.com/）为您提供相关资源和后续服务。
　　配套资源
　　本书提供配套代码资源，要获得该配套资源，请在异步社区本书页面中点击，跳转到下载界面，按提示进行操作即可。注意：为保证购书读者的权益，该操作会给出相关提示，要求输入提取码进行验证。
　　如果您是教师，希望获得教学配套资源，请在社区本书页面中直接联系本书的责任编辑。
　　提交勘误
　　作者和编辑尽最大努力来确保书中内容的准确性，但难免会存在疏漏。欢迎您将发现的问题反馈给我们，帮助我们提升图书的质量。
　　当您发现错误时，请登录异步社区，按书名搜索，进入本书页面，点击“提交勘误”，输入勘误信息，点击“提交”按钮即可。本书的作者和编辑会对您提交的勘误进行审核，确认并接受后，您将获赠异步社区的100积分。积分可用于在异步社区兑换优惠券、样书或奖品。
　　与我们联系
　　我们的联系邮箱是contact@epubit.com.cn。
　　如果您对本书有任何疑问或建议，请您发邮件给我们，并请在邮件标题中注明本书书名，以便我们更高效地做出反馈。
　　如果您有兴趣出版图书、录制教学视频，或者参与图书翻译、技术审校等工作，可以发邮件给我们；有意出版图书的作者也可以到异步社区在线提交投稿（直接访问www.epubit.com/selfpublish/submission即可）。
　　如果您是学校、培训机构或企业，想批量购买本书或异步社区出版的其他图书，也可以发邮件给我们。
　　如果您在网上发现有针对异步社区出品图书的各种形式的盗版行为，包括对图书全部或部分内容的非授权传播，请您将怀疑有侵权行为的链接发邮件给我们。您的这一举动是对作者权益的保护，也是我们持续为您提供有价值的内容的动力之源。
　　关于异步社区和异步图书
　　“异步社区”是人民邮电出版社旗下IT专业图书社区，致力于出版精品IT技术图书和相关学习产品，为作译者提供优质出版服务。异步社区创办于2015年8月，提供大量精品IT技术图书和电子书，以及高品质技术文章和视频课程。更多详情请访问异步社区官网https://www.epubit.com。
　　“异步图书”是由异步社区编辑团队策划出版的精品IT专业图书的品牌，依托于人民邮电出版社近30年的计算机图书出版积累和专业编辑团队，相关图书在封面上印有异步图书的LOGO。异步图书的出版领域包括软件开发、大数据、AI、测试、前端、网络技术等。

　　在1000多年前的唐代，高僧玄奘为了探究佛教各派学说的分歧，独自一人西行了五万里到达印度那烂陀寺，将600多部经书带回了中国，期间共经历了17年。而在进入工业时代之后，从北京乘坐飞机到达新德里只需要7小时。在互联网时代的今天，如果将这些经书以计算机数据的形式存储起来，那么只需要在几秒（甚至更短），就可以将它们通过网络从新德里传输到北京。
　　网络的出现改变了我们的工作和生活方式。可以这样说，我们无时无刻都离不开网络，它已经像电力一样成为了这个世界不可或缺的资源之一。但是在享受着网络带来便利的同时，却很少有人关心其中的运行机制，当然人们也无法用肉眼观察到网络世界。
　　因此，当你希望能够深入地了解网络，一个可以观察到它内部活动的“显微镜”将会是必不可少的。目前世界上可以实现这种功能的“网络显微镜”其实有很多，如果你听过著名的哈佛大学公开课《计算机科学cs50》的话，那么一定会注意到David J. Malan在上课时使用的TcpDump，这就是一个很受欢迎的“网络显微镜”。另外比较著名的例如Sniffer、Ethereal和Wireshark等，它们都曾经或者正在人们对网络世界的观察中起着重要的作用。不过，本书要介绍的并非TcpDump，因为它没有尽如人意的图形化操作界面。而Wireshark则在拥有了TcpDump的各种优势的同时，还弥补了TcpDump的这个缺陷，成为了当前最为流行的网络分析工具。在本书中，我们将在Wireshark的帮助下来体验网络世界的神奇。
　　在本章中，我们先来简单地了解Wireshark，这部分内容将会围绕以下几个主题展开：
　　•Wireshark是什么；
　　•Wireshark是如何工作的；
　　•如何下载和安装Wireshark；
　　•一次完整的Wireshark使用过程。
　　1.1 Wireshark是什么
　　简单来说，Wireshark是一个可以运行在各种主流操作系统上的数据包分析软件。下面我们将分别了解它的功能、历史、工作原理和优势。
　　1.1.1 Wireshark的功能
　　在开始回答“Wireshark是什么？”这个问题之前，我们应该先来简单地了解网络的工作模式。当我们使用应用程序（比如QQ）向目标发送一份文件的时候，这份文件会被分割成多个数据单元并在网络上传输。这是因为现代网络采用了一种叫作“分组交换”的方法，它最大的特点就是将较大的信息拆分成基本单元。而这种基本单元就是我们平时所说的“数据包”。简单来看，数据包由包头和包体两部分组成，其中包头主要是一些源地址和目标地址的信息，包体里面则是要传输的真正信息。打个比方，这些数据包就好像我们日常发送物品所使用的快递一样，包头就好像快递标签，而包体则如同里面的物品。
　　对于数据包进行研究可以找出很多问题的原因，但是在正常情况下，应用程序和操作系统在产生了数据包之后，会发送到网卡，然后再由网卡交给网络中的设备发送出去。这个过程中，我们是无法见到这些数据包的。而如果你使用了Wireshark的话，那么网卡无论是接收还是发送数据包的时候，都会将这些数据包复制一份发送给Wireshark。这样不管数据包来自哪里，还是去往何处，经过这个网卡的数据包都会被Wireshark所获取了。这个获取流经网卡数据包的过程，也被称为“捕获数据包”或者简称为“抓包”。
　　可是如果只是捕获到了这些数据包的话，我们还是很难弄清楚这些数据包的真正含义。因为这些数据包是以0和1进行编码的，也就是说无论是你在访问一个网站，还是在看在线视频，或者联机游戏，在网络中产生的数据包都是大量的0和1的组合，比如“00010100 01000100”这种形式，如果使用手工来分析这些数据含义的话，那么付出的工作量之大将会是无法想象的。这也是我们要使用Wireshark的第二个原因，它可以将捕获到的数据包进行自动分析，把这些0和1的组合解析成我们容易理解的形式，这个过程就是“数据包分析”。
　　好了，现在我们来回答一下“Wireshark是什么”，答案就是一个可以进行数据包的捕获和分析的软件。