本书共分3篇。第1篇介绍Wireshark的各项功能，包括基础知识、Wireshark的定製、捕获过滤器和显示过滤器的使用、数据包的着色、导出和重组等；第2篇介绍基于Wireshark对TCP/IP协定族中常用协定的详细分析，如ARP、IP、UDP、TCP、HTTP、HTTPS和FTP等；第3篇介绍藉助Wireshark分析作业系统启动过程中的网路通信情况。

网路的普及给人们的生活带来了极大的便利，同时网路的安全问题也成为公众热点。网路数据抓包和分析作为网路管理和监控最有效的措施，越来越受到网路管理人员和网路安全人员的重视。
Wireshark作为一款开源的专业数据抓包和分析工具，深受业内人士欢迎。它提供了强大的数据抓取功能和丰富的数据分析方式。面对Wireshark强大的功能和海量的数据包，初学者往往无从下手。
笔者结合网路数据传输及安全方面存在的各种问题，经过分析及总结，编写了本书。本书通过专业的数据抓包流程，逐步讲解Wireshark各项强大的功能。同时，基于Wireshark抓取的数据包，以层层剥茧的形式，讲解常见的各种网路协定。这样读者可以更直接地掌握各种协定类型的数据包。
通过本书的学习，读者不仅可以轻鬆掌握Wireshark的使用，踏入网路数据分析的大门，还可以更为直观地理解TCP/IP各个协定，以及这些协定在数据包中的表现。掌握这些技术，再加以充分的练习，就可以轻鬆应对网路数据分析等各项工作。

1．内容全面、系统、深入
本书介绍了Wireshark的基础知识、捕获过滤器和显示过滤器的使用、对数据包进行导出或重组等。然后，介绍了使用Wireshark对各种协定的详细分析。最后，还详细分析了作业系统启动过程的数据包。
2．贴近实际，专业讲解
本书按照Wireshark专业使用流程，对其功能进行详细讲解，帮助读者掌握最高效的数据抓包、分析技术，以解决各种複杂的网路问题。同时，针对围绕海量数据包处理问题，本书详细介绍相关技术，如抓取过滤器、显示过滤器、着色规则等功能。
3．直观讲解网路协定
对于网路数据包涉及的网路协定，本书给以最直观的讲解。首先分析协定的工作原理以及相关数据包的构成，然后对照Wireshark数据包视图进行逐条比对，帮助读者以最直观的形式学习和掌握各个网路协定。
4．提供多种学习和交流的方式

第1篇 Wireshark套用篇（第1～9章）
本篇主要内容包括：Wireshark的基础知识、设定Wireshark视图、捕获过滤器技巧、显示过滤器技巧、着色规则和数据包导出、构建图表、重组数据、添加注释等。通过本篇的学习，读者可以掌握Wireshark的基本操作，灵活地使用捕获过滤器和显示过滤器，并可以对Wireshark中的数据进行重组构建图表等。
第2篇 网路协定分析篇（第10～20章）
本篇主要内容包括：ARP协定抓包分析、网际网路协定（IP）抓包分析、UDP协定抓包分析、TCP协定抓包分析、ICMP协定抓包分析、DHCP数据抓包分析、DNS抓包分析、HTTP协定抓包分析、HTTPS协定抓包分析、FTP协定抓包分析和电子邮件抓包分析。通过本篇的学习，读者可以掌握TCP/IP协定族中每层中包括的协定、协定的格式及传输的数据等。
第3篇 实战篇（第21章）
本篇主要内容包括：作业系统启动过程抓包分析。通过本篇的学习，读者可以掌握一个作业系统启动过程中会自动开启哪些服务、获取地址的过程及启动的一些应用程式等。
本书配套资源获取方式

* Wireshark初学者；
* 想全面学习Wireshark的人员；
* 各种兴趣爱好者；
* 网路管理员；
* 专业的安全渗透测试人员；
* 大中专院校的学生；
* 社会培训班学员。

第1篇 Wireshark套用篇
第1章 Wireshark的基础知识2
1.1 Wireshark的功能2
1.1.1 Wireshark主视窗界面2
1.1.2 Wireshark的作用3
1.2 安装Wireshark4
1.2.1 获取Wireshark4
1.2.2 安装Wireshark6
1.3 Wireshark捕获数据10
1.4 认识数据包10
1.5 捕获HTTP包13
1.6 访问Wireshark资源16
1.7 Wireshark快速入门18
1.8 分析网路数据25
1.8.1 分析Web浏览数据26
1.8.2 分析后台数据28
1.9 打开其他工具捕获的档案29
第2章 设定Wireshark视图30
2.1 设定Packet List面板列30
2.1.1 添加列30
2.1.2 隐藏、删除、重新排序及编辑列31
2.2 Wireshark分析器及Profile设定37
2.2.1 Wireshark分析器37
2.2.2 分析非标準连线埠号流量39
2.2.3 设定Wireshark显示的特定数据类型42
2.2.4 使用Profile定製Wireshark47
2.2.5 查找关键的Wireshark Profile48
2.3 数据包时间延迟50
2.3.1 时间延迟50
2.3.2 检查延迟问题51
2.3.3 检查时间差延迟问题53
第3章 捕获过滤器技巧56
3.1 捕获过滤器简介56
3.2 选择捕获位置57
3.3 选择捕获接口58
3.3.1 判断哪个适配器上的数据58
3.3.2 使用多适配器捕获59
3.4 捕获乙太网数据59
3.5 捕获无线数据60
3.5.1 捕获无线网路数据的方式60
3.5.2 使用AirPcap适配器61
3.6 处理大数据61
3.6.1 捕获过滤器61
3.6.2 捕获档案集62
3.7 处理随机发生的问题64
3.8 捕获基于MAC/IP位址数据66
3.8.1 捕获单个IP位址数据66
3.8.2 捕获IP位址範围68
3.8.3 捕获广播或多播地址数据70
3.8.4 捕获MAC地址数据70
3.9 捕获连线埠应用程式数据73
3.9.1 捕获所有连线埠号的数据73
3.9.2 结合基于连线埠的捕获过滤器74
3.10 捕获特定ICMP数据77
第4章 显示技巧80
4.1 显示过滤器简介80
4.2 使用显示过滤器81
4.2.1 显示过滤器语法81
4.2.2 检查语法错误83
4.2.3 识别栏位名85
4.2.4 比较运算符87
4.2.5 表达式过滤器87
4.2.6 使用自动补全功能89
4.2.7 手动添加显示列90
4.3 编辑和使用默认显示过滤器93
4.4 过滤显示HTTP94
4.5 过滤显示DHCP97
4.6 根据地址过滤显示98
4.6.1 显示单个IP位址或主机数据98
4.6.2 显示一个地址範围的数据100
4.6.3 显示一个子网IP的数据101
4.7 过滤显示单一的TCP/UDP会话102
4.8 使用複杂表达式过滤106
4.8.1 使用逻辑运算符106
4.8.2 使用括弧108
4.8.3 使用关键字110
4.8.4 使用通配符112
4.9 发现通信延迟114
4.9.1 时间过滤器（frame.time_delta）114
4.9.2 基于TCP的时间过滤（tcp.time_delta）115
4.10 设定显示过滤器按钮117
4.10.1 创建显示过滤器表达式按钮118
4.10.2 编辑、添加、删除显示过滤器按钮118
4.10.3 编辑preferences档案119
第5章 着色规则和数据包导出122
5.1 认识着色规则122
5.2 禁用着色规则123
5.2.1 禁用指定类型数据包彩色高亮123
5.2.2 禁用所有包彩色高亮125
5.3 创建用户着色规则125
5.3.1 创建时间差着色规则125
5.3.2 快速查看FTP用户名密码着色规则127
5.3.3 创建单个会话着色规则130
5.4 导出数据包131
5.4.1 导出显示包131
5.4.2 导出标记包133
5.4.3 导出包的详细信息134
第6章 构建图表139
6.1 数据统计表139
6.1.1 端点统计139
6.1.2 网路会话统计141
6.1.3 快速过滤会话142
6.1.4 地图化显示端点统计信息144
6.2 协定分层统计147
6.3 图表化显示频宽使用情况148
6.3.1 认识IO Graph148
6.3.2 套用显示过滤器149
6.4 专家信息152
6.5 构建各种网路错误图表154
6.5.1 构建所有TCP标誌位包154
6.5.2 构建单个TCP标誌位包155
第7章 重组数据157
7.1 重组Web会话157
7.1.1 重组Web浏览会话157
7.1.2 导出HTTP对象162
7.2 重组FTP会话165
7.2.1 重组FTP数据165
7.2.2 提取FTP传输的档案167
第8章 添加注释170
8.1 捕获档案注释170
8.2 包注释170
8.2.1 添加包注释171
8.2.2 查看包注释171
8.3 导出包注释173
8.3.1 使用Export Packet Dissections功能导出173
8.3.2 使用複製功能导出包175
第9章 捕获、分割和合併数据177
9.1 将大档案分割为档案集177
9.1.1 添加Wireshark程式目录到自己的位置177
9.1.2 使用Capinfos获取档案大小和包数177
9.1.3 分割档案178
9.2 合併多个捕获档案183
9.3 命令行捕获数据184
9.3.1 Dumpcap和Tshark工具184
9.3.2 使用捕获过滤器187
9.3.3 使用显示过滤器188
9.4 导出栏位值和统计信息189
9.4.1 导出栏位值189
9.4.2 导出数据统计191
第2篇 网路协定分析篇
第10章 ARP协定抓包分析196
10.1 ARP基础知识196
10.1.1 什幺是ARP196
10.1.2 ARP工作流程196
10.1.3 ARP快取表197
10.2 捕获ARP协定包200
10.2.1 Wireshark位置200
10.2.2 使用捕获过滤器201
10.3 分析ARP协定包203
10.3.1 ARP报文格式203
10.3.2 ARP请求包204
10.3.3 ARP回响包205
第11章 网际网路协定（IP）抓包分析207
11.1 网际网路协定（IP）概述207
11.1.1 网际网路协定地址（IP位址）的由来207
11.1.2 IP位址208
11.1.3 IP位址的构成208
11.2 捕获IP数据包209
11.2.1 什幺是IP数据报209
11.2.2 Wireshark位置210
11.2.3 捕获IP数据包210
11.2.4 捕获IP分片数据包213
11.3 IP数据报首部格式215
11.3.1 存活时间TTL216
11.3.2 IP分片217
11.4 分析IP数据包218
11.4.1 分析IP首部218
11.4.2 分析IP数据包中TTL的变化220
11.4.3 IP分片数据包分析223
第12章 UDP协定抓包分析229
12.1 UDP协定概述229
12.1.1 什幺是UDP协定229
12.1.2 UDP协定的特点229
12.2 捕获UDP数据包230
12.3 分析UDP数据包232
12.3.1 UDP首部格式233
12.3.2 分析UDP数据包233
第13章 TCP协定抓包分析236
13.1 TCP协定概述236
13.1.1 TCP协定的由来236
13.1.2 TCP连线埠236
13.1.3 TCP三次握手237
13.1.4 TCP四次断开239
13.1.5 TCP重置239
13.2 捕获TCP数据包240
13.2.1 使用捕获过滤器240
13.2.2 使用显示过滤器242
13.2.3 使用着色规则243
13.3 TCP数据包分析249
13.3.1 TCP首部249
13.3.2 分析TCP的三次握手251
13.3.3 分析TCP的四次断开257
13.3.4 分析TCP重置数据包263
第14章 ICMP协定抓包分析266
14.1 ICMP协定概述266
14.1.1 什幺是ICMP协定266
14.1.2 学习ICMP的重要性266
14.1.3 Echo请求与回响267
14.1.4 路由跟蹤267
14.2 捕获ICMP协定包267
14.2.1 捕获正常ICMP数据包268
14.2.2 捕获请求逾时的数据包269
14.2.3 捕获目标主机不可达的数据包271
14.3 分析ICMP数据包272
14.3.1 ICMP首部272
14.3.2 分析ICMP数据包——Echo Ping请求包274
14.3.3 分析ICMP数据包——Echo Ping回响包275
14.3.4 分析ICMP数据包——请求逾时数据包277
14.3.5 分析ICMP数据包——目标主机不可达的数据包279
第15章 DHCP数据抓包分析281
15.1 DHCP概述281
15.1.1 什幺是DHCP281
15.1.2 DHCP的作用281
15.1.3 DHCP工作流程282
15.2 DHCP数据抓包284
15.2.1 Wireshark位置284
15.2.2 使用捕获过滤器284
15.2.3 过滤显示DHCP289
15.3 DHCP数据包分析291
15.3.1 DHCP报文格式291
15.3.2 DHCP报文类型292
15.3.3 发现数据包293
15.3.4 回响数据包296
15.3.5 请求数据包298
15.3.6 确认数据包301
第16章 DNS抓包分析304
16.1 DNS概述304
16.1.1 什幺是DNS304
16.1.2 DNS的系统结构305
16.1.3 DNS系统解析过程305
16.1.4 DNS问题类型307
16.2 捕获DNS数据包307
16.3 分析DNS数据包311
16.3.1 DNS报文格式311
16.3.2 分析DNS数据包312
第17章 HTTP协定抓包分析317
17.1 HTTP协定概述317
17.1.1 什幺是HTTP317
17.1.2 HTTP请求方法317
17.1.3 HTTP工作流程318
17.1.4 持久连线和非持久连线319
17.2 捕获HTTP数据包320
17.2.1 使用捕获过滤器320
17.2.2 显示过滤HTTP协定包323
17.2.3 导出数据包326
17.3 分析HTTP数据包332
17.3.1 HTTP报文格式332
17.3.2 HTTP的头域333
17.3.3 分析GET方法的HTTP数据包335
17.3.4 分析POST方法的HTTP数据包339
17.4 显示捕获档案的原始内容343
17.4.1 安装Xplico343
17.4.2 解析HTTP包344
第18章 HTTPS协定抓包分析351
18.1 HTTPS协定概述351
18.1.1 什幺是HTTPS协定351
18.1.2 HTTP和HTTPS协定的区别351
18.1.3 HTTPS工作流程352
18.2 SSL概述352
18.2.1 什幺是SSL353
18.2.2 SSL工作流程353
18.2.3 SSL协定的握手过程353
18.3 捕获HTTPS数据包354
18.3.1 使用捕获过滤器354
18.3.2 显示过滤数据包356
18.4 分析HTTPS数据包359
18.4.1 客户端发出请求（Client Hello）360
18.4.2 伺服器回响（Server Hello）362
18.4.3 证书信息363
18.4.4 密钥交换365
18.4.5 套用层信息通信367
第19章 FTP协定抓包分析368
19.1 FTP协定概述368
19.1.1 什幺是FTP协定368
19.1.2 FTP的工作流程368
19.1.3 FTP常用控制命令369
19.1.4 应答格式370
19.2 捕获FTP协定数据包372
19.3 分析FTP协定数据包375
19.3.1 分析控制连线的数据375
19.3.2 分析数据连线的数据376
第20章 电子邮件抓包分析380
20.1 邮件系统工作原理380
20.1.1 什幺邮件客户端380
20.1.2 邮件系统的组成及传输过程380
20.2 邮件相关协定概述381
20.2.1 SMTP协定382
20.2.2 POP协定383
20.2.3 IMAP协定384
20.3 捕获电子邮件数据包386
20.3.1 Wireshark捕获位置386
20.3.2 Foxmail邮件客户端的使用387
20.3.3 捕获电子邮件数据包389
20.4 分析传送邮件的数据包390
20.4.1 分析SMTP工作流程391
20.4.2 查看邮件内容392
20.5 分析接收邮件的数据包393
20.5.1 分析POP工作流程393
20.5.2 查看邮件内容395
第3篇 实战篇
第21章 作业系统启动过程抓包分析398
21.1 作业系统概述398
21.2 捕获作业系统启动过程产生的数据包399
21.3 分析数据包401
21.3.1 获取IP位址401
21.3.2 加入组播组402
21.3.3 传送NBNS协定包402
21.3.4 ARP协定包的产生403
21.3.5 访问共享资源404
21.3.6 开机自动运行的程式404