介绍

软件

Wireshark(前称Ethereal)是一个免费开源的网络数据包分析软件。网络数据包分析软件的功能是截取网络数据包,并尽可能显示出最为详细的网络数据包资料。
- Wireshark - 维基百科,自由的百科全书

书籍

Wireshark是流行的网络嗅探软件,《Wireshark数据包分析实战(第3版)》在上一版的基础上针对Wireshark 2.0.5和IPv6进行了更新,并通过大量真实的案例对Wireshark的使用进行了详细讲解,旨在帮助读者理解Wireshark捕获的PCAP格式的数据包,以便对网络中的问题进行排错。
- Wireshark数据包分析实战(第3版) (豆瓣)

书籍的好处

  • 软件本身过于复杂,需要一个系统介绍的资料
  • 书籍每一章节都围绕着一个主题介绍,可以快速学会
  • 书籍提供相应的捕获文件,可以快速了解典型的数据包结构,排除其他不相关的干扰
  • 介绍了命令行下如何抓包,甚至可以结合命令行与 GUI 同时使用
  • 提供了现实场景的案例,从而帮助理解如何使用软件

笔记

下面是对每一章的简要复述,建议前往 Wireshark数据包分析实战(第3版) (豆瓣) 查看书籍目录了解更多信息。

第1章 数据包分析技术与网络基础

讲解了嗅控原理、硬件种类、流量分类等等,可以说给出了一个全局的概览。

第2章 监听网络线路

讲解嗅探的不同方法,在这里终于明白网卡的混杂模式是干什么用的了。

第3章 Wireshark 入门

介绍软件如何安装、使用、配置。

第4章 玩转捕获数据包

介绍如何分析数据包、处理时间显示、设定捕获选项、过滤器。

第5章 Wireshark 高级特性

使用统计窗口来查看统计信息、名称解析处理不同设备信息、协议如何解析、图形展示方式等等。

第6章 用命令行分析数据包

介绍了 TShark 与 Tcpdump 如何使用。

第7章 网络层协议

介绍如何分析 ARP、IPv4、IPv6、ICMP 协议。

第8章 传输层协议

详细介绍了 TCP 协议,这是平时最常使用的协议。

第9章 常见高层网络协议

介绍 DHCP、DNS、HTTP、SMTP 协议。

第10章 基础的现实世界场景

如何分析特定场景下的网络。

第11章 让网络不再卡

介绍 TCP 协议中导致延迟的特性。介绍其他可能引起延迟的问题。

第12章 安全领域的数据包分析

简要介绍如何进行安全相关的数据包分析。

第13章 无线网络数据包分析

介绍如何嗅探无线网络,需要特定的硬件设备才能进行,较为麻烦。

感想

其实本书并不是很厚,只有 332 页,而且并没有太复杂的东西,可以很快地看完。看完之后就可以当作工具书,在需要的时候拿出来当作手册查找使用。

我认为这本书适合通读一遍,这样可以了解网络嗅探的方方面面,从而知道何时使用这个工具去解决问题。

我认为这个软件最大的意义在于获取了真实的网络通信的所有信息。通过这个软件你可以轻松地确认问题到底出在网络上还是在应用内。

没有银弹

Wireshark 分析 HTTP 这样的应用层协议时,并不如其他代理抓包软件(Charles 之类的)好用。不能快速地将请求聚合在一起,也不能通过设置证书来抓取 HTTPS 流量。

术业有专攻,专业的事情还是使用专业的软件处理。

参考资料

如果有需要也可以去找一些视频学习,官方的文档网站中就有不少视频: