Praktyczna analiza pakietów. Wykorzystanie narzędzia Wireshark do rozwiązywania problemów związanych z siecią. Wydanie III - ebook
Praktyczna analiza pakietów. Wykorzystanie narzędzia Wireshark do rozwiązywania problemów związanych z siecią. Wydanie III - ebook
Przechwytywanie pakietów i badanie ich zawartości może kojarzyć się z szemraną działalnością domorosłych hakerów i włamywaczy. Okazuje się jednak, że analiza pakietów jest jednym ze skuteczniejszych narzędzi do rozwiązywania problemów z siecią. O ile samo przechwycenie pakietu, na przykład za pomocą popularnego narzędzia Wireshark, zasadniczo nie sprawia problemu, o tyle zbadanie zawartości tego pakietu i wykorzystanie zdobytej wiedzy do poprawy działania sieci bywa sporym wyzwaniem nawet dla doświadczonych administratorów.
Niniejsza książka jest niezwykle praktycznym, przystępnie napisanym podręcznikiem, który znakomicie ułatwia zrozumienie tego, co się dzieje w sieci, i podjęcie adekwatnych działań w celu poprawy jej funkcjonowania. Niniejsze, trzecie wydanie książki zostało przejrzane i zaktualizowane, uwzględniono w nim również najnowszą wersję narzędzia Wireshark (2.x). Opisano sposób wykorzystywania przechwyconych danych do rozwiązywania problemów sieci. Gruntownie omówiono protokoły IPv6 i SMTP, znalazł się tu również nowy rozdział opisujący narzędzia tshark i tcpdum. Działają one na poziomie powłoki i służą do analizy pakietów.
Najważniejsze zagadnienia ujęte w książce:
- badanie komunikacji sieciowej w czasie rzeczywistym
- wykrywanie przyczyn problemów z siecią
- wyodrębnianie plików z pakietów
- działanie złośliwego kodu na poziomie pakietów
- generowanie raportów i statystyk dotyczących ruchu sieciowego
Sprawdź, co w pakiecie piszczy!
Chris Sanders — jest ekspertem w dziedzinie bezpieczeństwa informacji. Pochodzi z Mayfield w stanie Kentucky. Pracował dla wielu agencji rządowych i wojskowych, a także dla kilku firm z listy Fortune 500. W czasie współpracy z Departamentem Obrony USA Sanders rozwijał modele dostawcy usług sieciowych oraz narzędzia wywiadowcze. Założył fundację, której celem jest rozwój zaawansowanych technologii informatycznych na obszarach wiejskich. W wolnych chwilach ogląda mecze koszykówki, grilluje i spędza czas na plaży. Wraz z żoną Ellen mieszka w Charleston, w stanie Karolina Południowa.
Spis treści
Podziękowania (15)
Wprowadzenie (17)
Rozdział 1. Podstawy działania sieci i analizy pakietów (23)
- Analiza pakietów i sniffery pakietów (24)
- Ocena aplikacji typu sniffer pakietów (24)
- Jak działa sniffer pakietów? (26)
- W jaki sposób komunikują się komputery? (26)
- Protokoły (26)
- Siedem warstw modelu OSI (27)
- Sprzęt sieciowy (33)
- Klasyfikacje ruchu sieciowego (38)
- Ruch typu broadcast (39)
- Ruch typu multicast (40)
- Ruch typu unicast (40)
- Podsumowanie (40)
Rozdział 2. Dobranie się do sieci (41)
- Tryb mieszany (42)
- Przechwytywanie pakietów z koncentratorów (43)
- Przechwytywanie pakietów w środowisku sieci opartej na przełączniku sieciowym (45)
- Kopiowanie ruchu na wskazany port (46)
- Technika hubbing out (48)
- Użycie rozgałęźnika (49)
- Zatrucie bufora ARP (52)
- Przechwytywanie pakietów w środowisku sieci opartej na routerze (58)
- Praktyczne wskazówki dotyczące umieszczania sniffera pakietów (59)
Rozdział 3. Wprowadzenie do narzędzia Wireshark (63)
- Krótka historia narzędzia Wireshark (63)
- Zalety narzędzia Wireshark (64)
- Instalowanie narzędzia Wireshark (65)
- Instalowanie Wireshark w systemie Windows (66)
- Instalowanie narzędzia Wireshark w systemie Linux (68)
- Instalowanie narzędzia Wireshark w systemie macOS (70)
- Podstawy używania narzędzia Wireshark (71)
- Twoje pierwsze przechwycone pakiety (71)
- Okno główne narzędzia Wireshark (72)
- Preferencje narzędzia Wireshark (73)
- Kolorowanie pakietów (75)
- Pliki konfiguracyjne (77)
- Profile konfiguracyjne (78)
Rozdział 4. Praca z przechwyconymi pakietami (81)
- Praca z plikami zawierającymi przechwycone dane (81)
- Zapis i eksport plików zawierających przechwycone dane (82)
- Łączenie plików zawierających przechwycone dane (83)
- Praca z pakietami (84)
- Wyszukiwanie pakietów (84)
- Oznaczanie pakietów (85)
- Wydruk pakietów (86)
- Konfiguracja formatu wyświetlania czasu i odniesień (87)
- Format wyświetlania czasu (87)
- Odniesienie czasu do pakietu (88)
- Przesunięcie czasu (89)
- Konfiguracja opcji przechwytywania danych (89)
- Karta Input (90)
- Karta Output (90)
- Karta Options (92)
- Używanie filtrów (94)
- Filtry przechwytywania (94)
- Filtry wyświetlania (101)
- Zapis filtrów (104)
- Dodanie filtrów wyświetlania do paska narzędzi (105)
Rozdział 5. Zaawansowane funkcje narzędzia Wireshark (107)
- Konwersacje i punkty końcowe sieci (107)
- Przeglądanie danych statystycznych punktów końcowych (108)
- Przeglądanie konwersacji sieciowych (110)
- Identyfikowanie za pomocą okien Endpoints i Conversationspunktów kontrolnych generujących największą ilość ruchusieciowego (111)
- Okno Protocol Hierarchy Statistics (113)
- Określanie nazw (115)
- Włączenie funkcji określania nazw (115)
- Potencjalne wady określania nazw (117)
- Użycie własnego pliku hosts (117)
- Ręczne zainicjowanie określania nazw (119)
- Szczegółowa analiza protokołu (119)
- Zmiana dekodera (119)
- Wyświetlanie kodu źródłowego dekodera (122)
- Funkcja Follow Stream (122)
- Funkcja Follow SSL Stream (124)
- Wielkość pakietu (125)
- Grafika (126)
- Wykres operacji wejścia-wyjścia (127)
- Wykres czasu podróży (130)
- Wykres przepływu danych (131)
- Informacje zaawansowane (132)
Rozdział 6. Analiza pakietów z poziomu wiersza poleceń (135)
- Instalowanie tshark (136)
- Instalowanie tcpdump (137)
- Przechwytywanie i zapisywanie pakietów (138)
- Manipulowanie danymi wyjściowymi (142)
- Określanie nazw (145)
- Stosowanie filtrów (146)
- Formaty wyświetlania daty i godziny w narzędziu tshark (148)
- Podsumowanie danych statystycznych w narzędziu tshark (149)
- Porównanie narzędzi tshark i tcpdump (153)
Rozdział 7. Protokoły warstwy sieciowej (155)
- Protokół ARP (156)
- Struktura pakietu ARP (157)
- Pakiet 1.: żądanie ARP (158)
- Pakiet 2.: odpowiedź ARP (159)
- Bezpłatny pakiet ARP (159)
- Protokół IP (161)
- Internet Protocol Version 4 (IPv4) (161)
- Internet Protocol Version 6 (IPv6) (169)
- Protokół ICMP (182)
- Struktura pakietu ICMP (182)
- Wiadomości i typy ICMP (182)
- Żądania echo i odpowiedzi na nie (183)
- Polecenie traceroute (185)
- Protokół ICMPv6 (188)
Rozdział 8. Protokoły warstwy transportowej (191)
- Protokół TCP (191)
- Struktura pakietu TCP (192)
- Porty TCP (192)
- Trzyetapowy proces negocjacji TCP (195)
- Zakończenie komunikacji TCP (198)
- Zerowanie TCP (199)
- Protokół UDP (201)
- Struktura pakietu UDP (201)
Rozdział 9. Najczęściej używane protokoły wyższych warstw (203)
- Protokół DHCP (203)
- Struktura pakietu DHCP (204)
- Proces odnowy DHCP (204)
- Proces odnowy dzierżawy DHCP (210)
- Opcje DHCP i typy wiadomości (211)
- DHCP Version 6 (DHCPv6) (211)
- Protokół DNS (213)
- Struktura pakietu DNS (214)
- Proste zapytanie DNS (215)
- Typy zapytań DNS (216)
- Rekurencja DNS (218)
- Transfer strefy DNS (221)
- Protokół HTTP (223)
- Przeglądanie zasobów za pomocą HTTP (224)
- Przekazywanie danych za pomocą HTTP (227)
- Protokół SMTP (227)
- Wysyłanie i odbieranie poczty elektronicznej (228)
- Śledzenie poczty elektronicznej (230)
- Wysyłanie załączników za pomocą SMTP (237)
- Podsumowanie (240)
Rozdział 10. Najczęściej spotykane sytuacje (241)
- Brakująca treść witryny internetowej (242)
- Dobranie się do sieci (242)
- Analiza (243)
- Wnioski (247)
- Oporna usługa prognozy pogody (247)
- Dobranie się do sieci (247)
- Analiza (249)
- Wnioski (252)
- Brak dostępu do internetu (253)
- Problem związany z konfiguracją (253)
- Niechciane przekierowanie (256)
- Problemy związane z przekazywaniem danych (260)
- Nieprawidłowo działająca drukarka (263)
- Dobranie się do sieci (263)
- Analiza (263)
- Wnioski (266)
- Uwięzieni w oddziale (266)
- Dobranie się do sieci (267)
- Analiza (267)
- Wnioski (270)
- Błąd programisty (270)
- Dobranie się do sieci (271)
- Analiza (271)
- Wnioski (273)
- Podsumowanie (274)
Rozdział 11. Zmagania z wolno działającą siecią (275)
- Funkcje usuwania błędów protokołu TCP (276)
- Ponowna transmisja pakietu TCP (276)
- Duplikaty potwierdzeń TCP i szybka retransmisja (279)
- Kontrola przepływu danych TCP (284)
- Dostosowanie wielkości okna (286)
- Wstrzymanie przepływu danych i powiadomienie o zerowej wielkości okna odbiorcy (287)
- Mechanizm przesuwającego się okna TCP w praktyce (288)
- Wnioski płynące z usuwania błędów protokołu TCP i kontroli przepływu danych (291)
- Lokalizacja źródła opóźnień (292)
- Normalna komunikacja (293)
- Wolna komunikacja - opóźnienie z winy sieci (293)
- Wolna komunikacja - opóźnienie po stronie klienta (294)
- Wolna komunikacja - opóźnienie po stronie serwera (295)
- Struktury pozwalające na wyszukiwanie opóźnień (296)
- Punkt odniesienia dla sieci (296)
- Punkt odniesienia dla miejsca (297)
- Punkt odniesienia dla komputera (298)
- Punkt odniesienia dla aplikacji (300)
- Informacje dodatkowe dotyczące punktów odniesienia (300)
- Podsumowanie (301)
Rozdział 12. Analiza pakietów i zapewnianie bezpieczeństwa (303)
- Rozpoznanie systemu (304)
- Skanowanie TCP SYN (305)
- Wykrywanie systemu operacyjnego (309)
- Manipulacje ruchem sieciowym (313)
- Zatrucie bufora ARP (313)
- Przechwycenie sesji (317)
- Malware (321)
- Operacja Aurora (322)
- Koń trojański umożliwiający zdalny dostęp (328)
- Zestaw automatyzujący atak i Ransomware (336)
- Podsumowanie (343)
Rozdział 13. Analiza pakietów w sieci bezprzewodowej (345)
- Względy fizyczne (346)
- Przechwytywanie danych tylko jednego kanału w danej chwili (346)
- Zakłócenia sygnału bezprzewodowego (347)
- Wykrywanie i analizowanie zakłóceń sygnału (347)
- Tryby działania kart sieci bezprzewodowych (349)
- Bezprzewodowe przechwytywanie pakietów w systemie Windows (351)
- Konfiguracja AirPcap (351)
- Przechwytywanie ruchu sieciowego za pomocą urządzenia AirPcap (353)
- Bezprzewodowe przechwytywanie pakietów w systemie Linux (354)
- Struktura pakietu 802.11 (356)
- Dodanie do panelu Packet List kolumn charakterystycznych dla sieci bezprzewodowej (357)
- Filtry przeznaczone dla sieci bezprzewodowej (359)
- Filtrowanie ruchu sieciowego należącego do określonego BSS ID (359)
- Filtrowanie określonych typów pakietów sieci bezprzewodowej (359)
- Odfiltrowanie określonej częstotliwości (360)
- Zapis profilu sieci bezprzewodowej (361)
- Bezpieczeństwo w sieci bezprzewodowej (361)
- Zakończone powodzeniem uwierzytelnienie WEP (362)
- Nieudane uwierzytelnienie WEP (364)
- Zakończone powodzeniem uwierzytelnienie WPA (364)
- Nieudane uwierzytelnienie WPA (367)
- Podsumowanie (368)
Dodatek A. Co dalej? (369)
- Narzędzia analizy pakietów (369)
- CloudShark (369)
- WireEdit (370)
- Cain & Abel (371)
- Scapy (371)
- TraceWrangler (371)
- Tcpreplay (371)
- NetworkMiner (371)
- CapTipper (372)
- ngrep (372)
- libpcap (373)
- npcap (373)
- hping (374)
- Python (374)
- Zasoby dotyczące analizy pakietów (374)
- Witryna domowa narzędzia Wireshark (374)
- Kurs internetowy praktycznej analizy pakietów (374)
- Kurs SANS Security Intrusion Detection In-Depth (375)
- Blog Chrisa Sandersa (375)
- Malware Traffic Analysis (375)
- Witryna internetowa IANA (375)
- Seria TCP/IP Illustrated napisana przez W. Richarda Stevensa (376)
- The TCP/IP Guide (No Starch Press) (376)
Dodatek B. Nawigacja po pakietach (377)
- Reprezentacja pakietu (377)
- Użycie diagramów pakietów (380)
- Poruszanie się po tajemniczym pakiecie (382)
- Podsumowanie (385)
Skorowidz (387)
Kategoria: | Hacking |
Zabezpieczenie: |
Watermark
|
ISBN: | 978-83-283-3697-1 |
Rozmiar pliku: | 19 MB |