读实战封包分析 : 使用Wireshark

By:
On:
In: 文章导读
Tagged: , , , ,

实战封包分析:使用Wireshark

实战封包分析 : 使用Wireshark一书是ㄚ琪最近为了工作需要借来看看的,就先让我们读一下博客来简介吧↓↓↓↓↓↓↓

[adsense][/adsense]

本书是网路技术人员、网管或工程师不可或缺的案头书。

  利用世界上最流行的网路监听器Wireshark,可以轻易地撷取任何封包。但要如何利用这些封包来了解网路到底发生何事呢?

藉由网路协定的广泛讨论以及45个全新情境,畅销全球的《封包分析实务》全新改版将告诉您如何理解PCAP资料。您可以透过本书提供的技巧,解决网路缓慢以及安全性分析等疑难杂症。对TCP/IP网路协定堆叠的说明,可以协助您了解网路安全漏洞以及恶意软体在封包层的工作原理,更加精进封包分析的能力。

  藉由本书,您将学到:
  .建立自制撷取及显示过滤器
.即时监控网路并追踪现场网路通讯
.描绘流量型态以将穿越网路资料流程视觉化
.利用进阶Wireshark功能来了解混淆的撷取
.建立易懂的统计图表及报告来协助您为没有技术背景的人解释网路问题
.利用封包分析来辨识及解决类似连线遗失、DNS问题、速度迟缓及恶意软体感染所造成的网路问题

第1章:封包分析与网路基本原理
何谓封包分析?封包分析如何运作?如何进行封包分析?本章涵盖网路通讯之基本原理及封包分析。

第2章:听诊线路
本章涵盖将封包监听器放在网路上的各种不同技巧。

第3章:Wireshark入门
这章将学会Wireshark之基础:何处可得、如何使用、功用为何、何以重要以及所有它的优势。

第4章:撷取封包
在启动与执行Wireshark后,读者会想要去了解如何对撷取的封包进行操作。这些是读者必备的基本功。

第5章:Wireshark进阶功能
一旦读者已经学会爬行,再来就是学走路了。本章探索Wireshark的进阶功能,带领读者看看不易注意到的功能。

第6章:常见的下层协定
本章显示一些以封包层面来看最常见的下层网路通讯协定(如TCP、UDP及IP)。为了了解这些协定何以机能失常,首先得知道它们的运作方式。

第7章:常见的上层协定
本章继续探讨通讯协定,介绍以封包层面来看三个最常见的上层通讯协定(HTTP、DNS及DHCP)。

第8章:真实情境
本章包含一些常见的封包分析以及真实环境中的情境。每个情境以易于理解的方式呈现,并指出问题、分析及解决方案之所在。基础情境只处理少数电脑及涉及有限的分析数量,但足够读者从中学到经验。

第9章:对抗慢速网路
网路技术人员最常听到的问题是牵涉到龟速的网路效能。本章要针对这类的问题对症下药。

第10章:安全性之封包分析
网路安全性是IT领域最大的热门话题。本章展示有关以封包分析技术解决安全性相关议题的一些情境。

第11章:无线网路封包分析
本章是无线网路封包分析之入门,探讨无线封包与有线封包之间的差异, 包括无线网路封包分析的一些实际案例。

附录:深入导读
附录提供一些其他参考工具及网站之建议,当读者持续使用所学的封包分析技巧时,这些内容应该会对你有所助益。

ㄚ琪在试阅的时候,读到随机生存这节最后一段,‘对于本书的目的来说,读者必须拥有一张NIC以及支援使用混杂模式之作业系统。唯一不需要用到混杂模式监听的时机,是只想看到流量直接发送到用来监听的介面MAC位址的时候。’

之后来有个注意事项

除非已经提升使用者的权限,否则大部分作业系统(包括Windows)不会让你使用在混杂模式中的NIC。如果不能在系统上取得这些权限,就不该在此特定网路上执行任何的封包监听工作。

所以在Ubuntu上可以玩吗?先看看维基的解释好了↓↓↓↓↓↓↓

混杂模式(Promiscuous Mode)是计算机网路中的术语。是指一台机器的网卡能够接收所有经过它的数据流,而不论其目的地址是否是它。
一般计算机网卡都工作在非混杂模式下,此时网卡只接受来自网路埠的目的地址指向自己的数据。当网卡工作在混杂模式下时,网卡将来自介面的所有数据都捕获并交给相应的驱动程序。网卡的混杂模式一般在网路管理员分析网路数据作为网路故障诊断手段时用到,同时这个模式也被网路骇客利用来作为网路数据窃听的入口。在Linux作业系统中设置网卡混杂模式时需要管理员许可权。在Windows作业系统和Linux作业系统中都有使用混杂模式的抓包工具,比如著名的开源软体Wireshark。

所以说Ubuntu上可以玩,但是在Windows上使用Wireshark也可以玩?是这样解读的吗?那再让我们读读维基对Wireshark的说明↓↓↓↓↓↓↓

Wireshark on Mac OS X

Wireshark on Ubuntu

Wireshark(前称Ethereal)是一个网路封包分析软体。网路封包分析软体的功能是截取网路封包,并尽可能显示出最为详细的网路封包资料。
在过去,网路封包分析软体是非常昂贵,或是专门属于营利用的软体,Wireshark的出现改变了这一切。在GNU GPL通用许可证的保障范围底下,使用者可以以免费的代价取得软体与其程式码,并拥有针对其原始码修改及客制化的权利。Wireshark是目前全世界最广泛的网路封包分析软体之一。

Wireshark使用目的
以下是一些使用Wireshark目的的例子:
网路管理员使用Wireshark来检测网路问题
网路安全工程师使用Wireshark来检查资讯安全相关问题
开发者使用Wireshark来为新的通讯协定除错
普通使用者使用Wireshark来学习网路协定的相关知识

第一个目的似乎是ㄚ琪即将会面临到的问题,那就让我们在Windows上试试看吧