Wireshark网络分析实战(第2版) - (EPUB全文下载)
文件大小:0.39 mb。
文件格式:epub 格式。
书籍内容:
Wireshark网络分析实战(第2版)
第1章 Wireshark版本2简介
第2章 熟练使用Wireshark排除网络故障
第3章 抓包过滤器的用法
第4章 显示过滤器的用法
第5章 基本信息统计工具的用法
第6章 高级信息统计工具的用法
第7章 Expert Information工具的用法
第8章 Ethernet和LAN交换
第9章 无线LAN
第10章 网络层协议及其运作方式
第11章 传输层协议分析
第12章 FTP、HTTP/1和HTTP/2
第13章 DNS协议分析
第14章 E-mail协议分析
第15章 NetBIOS和SMB协议分析
第16章 企业网应用程序行为分析
第17章 排除SIP、多媒体及IP电话故障
第18章 排除由低带宽或高延迟所引发的故障
第19章 网络安全和网络取证
第1章 Wireshark版本2简介
本章涵盖以下内容:
Wireshark版本2基础知识;
安置Wireshark(主机/程序);
在虚拟机和云上抓取数据;
开始抓包;
配置启动(start)窗口;
保存、打印及导出数据。
1.1 Wireshark版本2基础知识
本章会介绍Wireshark所能行使的基本功能。本书前言谈论了与网络排障有关的内容,提到了有助于完成排障任务的各种工具。在得出需要动用Wireshark协议分析器的结论之后,就应先行测试,将其安置在网络中正确的位置,赋予其基本的配置,进行相应的优化,使其用起来更为顺手。
设置Wireshark执行简单的抓包任务虽然简单、直观,但该软件有诸多选项可在某些特殊情况下使用,这样的特殊情况包括:通过某条链路持续抓包的同时,希望将抓包文件分割为更小的文件,以及在查看抓包文件时,希望显示参与连接的设备名称而不只是设备的IP地址等。本章将会向读者传授如何配置Wireshark来应对这些特殊情况。
在简单介绍过Wireshark第2版之后,本章还会透露几个如何安置及启动该软件的秘诀。
本章首先会介绍安置Wireshark的秘诀,涉及如何安置以及在何处安置Wireshark来执行抓包任务。应将Wireshark软件安装在服务器上呢,还是应该将安装它的主机连接在交换机的某个端口上呢?应将Wireshark置于防火墙身前还是身后呢?应置于路由器的WAN一侧,还是LAN一侧呢?到底应在上述的哪个位置才能正确采集到自己想要得到的数据呢?这些问题的答案、安置Wireshark的诀窍以及更多与Wireshark抓包有关的内容请见1.2节。
最近几年,在虚拟机上抓包变得越来越重要,本章介绍的第二个秘诀就与此有关。用Wireshark监视虚拟机的实用安装及配置秘诀请见1.3节,近年来,所使用的大多数服务器都是虚拟机。
紧随而来的问题是如何监控驻留在云内的虚拟机,这同样十分重要。“在云内抓取数据”一节会讨论几个问题,其中包括如何解密在本端和云端之间加密(大多数情况都会如此行事)的数据,如何使用云内可用的分析工具,以及诸如Amazon AWS和Microsoft Azure之类的主要云提供商会提供哪些工具[1]。
启动Wireshark软件的秘诀以及配置、打印和导出数据的秘诀请见1.4节。该节会介绍如何操纵抓包文件,即如何保存抓取的数据,是要完整保存、部分保存,还是只准备保存经过过滤的数据呢?我们不但能以各种文件格式来导出抓取的数据,而且还能合并抓包文件(比如,将两份Wireshark抓包文件合二为一,这两份抓包文件中的数据分别从不同的路由器接口抓取)。
1.2 安置Wireshark
了解了网络故障的症状,决定动用Wireshark查明故障原委之前,应确定Wireshark(程序或主机)的安装或部署位置。为此,需要设法弄到一张精确的网络拓扑图(起码要清楚受故障影响的那部分网络的拓扑),并根据这张图来安置Wireshark。
安置Wireshark的原理非常简单。首先,应确定要抓取并监控由哪些(哪台)设备发出的流量;其次,要把安装了Wireshark的主机(或笔记本电脑)连接到受监控设备所连交换机;最后,开启交换机的端口监控功能(按Cisco的行话,该功能叫做端口镜像或交换式端口分析器[Switched Port Analyzer,SPAN]),把受监控设备发出的流量重定向给Wireshark主机。按此操作,便可抓取并查看所有进出受监控设备的流量了,这是最简单的抓包场景。
可用Wireshark监控LAN端口、WAN端口、服务器/路由器端口或接入网络的任何其他设备收发的流量。
以图1.1所示的网络为例,将Wireshark软件安装在左边的笔记本电脑和受监控的服务器S2上。
在这一最简单的抓包场景中,按图1.1所示方向配置端口镜像,即可监控到进出服务器S2的所有流量。当然,也可以直接将Wireshark安装在服务器S2上,如此行事,便能在服务器S2上直接观看进进出出的流量了。
图1.1
某些厂商的交换机还支持以下流量监控特性。
监控整个VLAN的流量:即监控整个VLAN(服务器VLAN或语音VLAN)的所有流量。可借助该特性,在指定的某一具体VLAN内进行流量监控。
“多源归一”的流量监控方式:以图1.1为例,借助该特性,可让Wireshark主机同时监控到服务器S1和S2的流量。
方向选择:可配置交换机,令其将受监控端口的入站流量、出站流量或同时将出入站流量镜像(重定向)给监控端口。
1.2.1 准备工作
使用Wireshark抓包之前,请先访问Wireshark官网,下载并安装最新版本的Wireshark。
Wireshark软件的2.0版本以及后续更新发布在Wireshark官网的Download页面下。
每个Wireshark Windows安装包都会自带WinPcap驱动程序的最新稳定版本,WinPcap驱动程序为实时抓包所必不可缺。用于抓包的WinPcap驱动程序是UNIX libpcap库的Windows版本。
在安装过程中,会看到图 ............
以上为书籍内容预览,如需阅读全文内容请下载EPUB源文件,祝您阅读愉快。
书云 Open E-Library » Wireshark网络分析实战(第2版) - (EPUB全文下载)