網絡協議分析與運維實戰（微課視頻版）

目錄

第1章初識網絡流量分析

1.1開宗明義——網絡層次模型與流量分析的聯系

1.1.1網絡層次初探

1.1.2TCP/IP模型各層的作用

1.2武功秘笈——網絡流量的獲取方式

1.2.1共享網絡——通過Hub連接上網

1.2.2交換式網絡——埠鏡像(交換機具備管理功能)

1.2.3流量獲取方式——TAP

1.2.43種流量獲取方式的區別

1.2.5公有雲環境下的流量獲取方式

1.2.6私有雲環境下的流量獲取方式

1.2.7流量獲取點的選擇

1.3十八般兵器——常見的網絡流量工具介紹

1.3.1Wireshark

1.3.2Sniffer

1.3.3tcpdump

1.3.4科來CSNAS

1.3.5其他網絡流量分析軟件

1.4修煉秘笈——哪些場景需要數據包分析

1.4.1為什麽需要數據包分析

1.4.2數據包分析的優勢

1.5案例： 如何發現與分析某OA系統的0Day漏洞攻擊

1.5.1問題描述

1.5.2分析過程

1.5.3分析結論

1.5.4價值

1.6實驗： 初探抓包軟件科來CSNAS

1.7習題

第2章廬山“幀”面目——二層協議分析

2.1以太網數據幀介紹

2.2VLAN協議介紹

2.2.1VLAN技術

2.2.2VLAN標簽

2.2.3關於VLAN的一道面試題

2.3ARP介紹

2.3.1ARP

2.3.2ARP數據幀分析

2.3.3ARP工作原理

2.3.4ARP常見報文

2.3.5ARP攻擊原理

2.4案例： 如何找出感染ARP病毒的主機

2.5實驗： 分析ARP掃描流量

2.6習題

第3章“包”羅萬象——三層協議分析

3.1車水馬龍的數據包世界——IP是如何工作的

3.1.1網絡層地址

3.1.2IP數據包格式

3.2一車拉不下——如何重組被分片的數據包

3.3IP丟包了怎麽辦

3.3.1ICMP概述

3.3.2ICMP數據包的格式

3.3.3ping程序原理

3.3.4ping包——ICMP回顯請求、回顯應答數據包

3.3.5數據包超時該如何通告——ICMP超時包

3.3.6數據包無法到達目的地該如何通告——ICMP不可達包

3.4案例31： ping大包丟包的原因分析

3.5案例32： 如何發現大型網絡中的環路問題

3.6下一代網絡世界IPv6到底難在哪裡

3.6.1IPv6的發展歷程

3.6.2IPv6的新特點

3.6.3IPv6地址表示方法

3.6.4EUI64算法

3.6.5IPv6地址類型

3.6.6IPv6數據包格式

3.6.7IPv6擴展報頭

3.7適應下一代網絡的ICMP與ARP

3.7.1ICMPv6概述

3.7.2ICMPv6數據包格式

3.8實驗： 一次IPv6網絡環境的Tracert流量分析

3.9習題

第4章“段”章取義——四層協議分析

4.1網購入門——經典的TCP

4.1.1TCP介紹

4.1.2TCP數據包格式

4.1.3TCP報頭選項

4.1.4三次握手與四次斷開

4.1.5案例41： 如何定位某行新業務壓力測試中的故障

4.1.6連接建立失敗了怎麽辦

4.1.7確認收貨——確認、累積確認與時延確認機制

4.1.8餘額的研究——TCP流量控制

4.1.9TCP的擁塞控制機制

4.1.10案例42： 如何定位FTP傳輸效率低的根源

4.1.11影響TCP性能的原因

4.2購買力測評——網絡分析中的TCP指標

4.2.1通過TCP三次握手判斷網絡時延

4.2.2通過TCP交易判斷其他時延

4.2.3應用交易處理時間分析

4.2.4其他KPI指標示例

4.2.5案例43： 如何解決C/S架構應用訪問緩慢的問題

4.3UDP

4.3.1UDP介紹

4.3.2UDP數據包格式

4.3.3UDP校驗和

4.3.4UDP數據包發送錯誤的情況

4.3.5UDPLite

4.4實驗： TCP會話流量分析

4.5習題

第5章亭台樓閣——應用層協議介紹

5.1超文本的傳輸方式——HTTP

5.1.1HTTP簡介

5.1.2HTTP URI

5.1.3HTTP請求包

5.1.4HTTP請求方法

5.1.5HTTP報頭字段

5.1.6HTTP響應包

5.1.7HTTP狀態碼

5.1.8HTTP分析方法

5.2鏢車與雞糞——HTTPS

5.2.1什麽是HTTPS

5.2.2HTTPS建立連接的過程

5.2.3從數據包來看HTTPS建立連接的過程

5.2.4HTTPS的分析方法

5.3綽號與真名——DNS

5.3.1DNS的概念

5.3.2樹狀域名結構

5.3.3本地域名服務器

5.3.4域名解析過程

5.3.5DNS數據包格式

5.3.6DNS分析方法

5.4網絡郵差——SMTP與POP3

5.4.1SMTP概述

5.4.2SMTP操作命令與狀態碼

5.4.3SMTP的工作流程

5.4.4POP3概述

5.4.5POP3操作命令與狀態碼

5.4.6POP3的工作流程

5.4.7郵件協議分析方法

5.4.8通過SMTP和POP3還原郵件正文與附件

5.5專業貨運——FTP

5.5.1FTP概述

5.5.2FTP操作命令與狀態碼

5.5.3FTP的主動模式與被動模式

5.5.4FTP工作流程詳解

5.5.5FTP分析方法

5.5.6通過FTP流量還原FTP交互的文件

5.6實驗： HTTP/HTTPS流量分析

5.7習題

第6章獨具慧眼——準確定位網絡攻擊

6.1踩點的藝術——網絡掃描

6.1.1什麽是埠掃描

6.1.2TCP SYN掃描

6.1.3如何通過流量分析發現SYN掃描

6.1.4TCP connect()掃描

6.1.5如何通過流量分析發現connect()掃描

6.1.6UDP掃描

6.1.7如何通過流量分析發現UDP掃描

6.1.8NULL、FIN與Xmas掃描

6.1.9如何通過流量分析發現NULL掃描

6.1.10ACK掃描

6.1.11如何通過流量分析發現ACK掃描

6.1.12掃描總結

6.2一擊斃命——DoS攻擊

6.2.1什麽是DoS攻擊

6.2.2流量型DoS攻擊簡介

6.2.3協議型DoS攻擊簡介

6.2.4應用請求型DoS攻擊簡介

6.2.5什麽是DDoS攻擊

6.2.6什麽是DRDoS攻擊

6.2.7常見的DRDoS攻擊簡介

6.2.8DoS攻擊分析總結

6.2.9案例61： 如何發現並防範“隱蔽式”CC攻擊

6.3你被控制了——木馬、蠕蟲、僵屍網絡分析

6.3.1什麽是木馬

6.3.2木馬的防範難點

6.3.3木馬的工作模型

6.3.4木馬的監測分析方法

6.3.5什麽是蠕蟲

6.3.6蠕蟲的工作模型

6.3.7蠕蟲的監測分析方法

6.3.8什麽是僵屍網絡

6.3.9僵屍網絡工作模型

6.3.10僵屍網絡的監測分析方法

6.3.11案例62： 僵屍網絡分析——飛客蠕蟲

6.4花言巧語——SQL註入

6.4.1什麽是SQL語句

6.4.2如何探測SQL註入點

6.4.3利用SQL註入實現“萬能登錄密碼”

6.4.4利用SQL註入實現“獲取數據庫內容”

6.4.5回顯註入的完整過程

6.4.6通過流量分析觀察SQL註入

6.4.7報錯註入與盲註

6.5夾帶私貨——文件上傳與WebShell

6.5.1文件上傳漏洞形成的原因

6.5.2文件上傳漏洞的危害

6.5.3上傳“一句話木馬”實現控制服務器的完整過程

6.5.4通過流量分析觀察文件上傳和WebShell

6.6實驗： 埠掃描流量分析

6.7習題

第7章“運”籌帷幄——運維案例分析

7.1案例71： 如何解決二維碼掃描讀取等待問題

7.1.1問題描述

7.1.2分析過程

7.1.3分析結論

7.1.4價值總結

7.2案例72： 如何快速解決運營商營業廳繳費頁面無法訪問的故障

7.2.1問題描述

7.2.2分析過程

7.2.3分析結論

7.2.4價值總結

7.3案例73： 如何定位網站中App下載失敗的故障原因

7.3.1問題描述

7.3.2分析過程

7.3.3分析結論及建議

7.3.4價值體現

7.4案例74： 如何解決儲值卡充值到賬延遲問題

7.4.1問題描述

7.4.2分析過程

7.4.3分析結論

7.4.4價值總結

7.5實驗： 疑難網絡故障分析

7.6習題

第8章居“安”思危——安全案例分析

8.1案例81： 如何分析入侵門戶網站的攻擊行為

8.1.1問題描述

8.1.2分析過程

8.1.3分析結論及建議

8.1.4價值總結

8.2案例82： 如何溯源分析清除痕跡後的網站惡意篡改攻擊行為

8.2.1問題描述

8.2.2分析過程

8.2.3分析結論

8.2.4價值總結

8.3案例83： 如何發現利用Struts2漏洞的攻擊行為

8.3.1問題描述

8.3.2分析過程

8.3.3分析結論及建議

8.3.4價值總結

8.4案例84： 如何分析暴力破解數據庫密碼的攻擊行為

8.4.1環境描述

8.4.2分析過程

8.4.3分析結論及建議

8.4.4價值總結

8.5實驗： 木馬流量分析

8.6習題

參考文獻