網絡分析技術揭秘：原理、實踐與WinPcap深入解析（簡體書）

《網絡分析技術揭秘：原理、實踐與WinPcap深入解析》結合著名的開源軟件庫WinPcap來說明網絡分析技術的實現原理及使用方法。其中包括WinPcap內核驅動，編譯與使用，數據包的捕獲、發送、內核過濾與接收，以及網絡流量的統計與網絡狀態的分析等重要內容，而且作者還通過修改內核級的源代碼解決了開源代碼本身尚未完成的一個重要功能—數據包的內核轉儲。經過系統深入的分析，讀者既能對WinPcap的架構、使用與實現機制有深入的理解，又能快速熟悉操作系統內核與用戶層交互的實現機制，並全面瞭解網絡分析專業各方面的技術，進而將相關知識運用到實際項目中。如果您的工作與網絡軟件相關，無論是開發人員還是測試人員，我們都強烈建議您閱讀這本書。·

呂雪峰、彭文波、宋澤宇編著的《網絡分析技術揭秘：原理、實踐與WinPcap深入解析》深入地、全面地敘述了網絡分析的核心技術，并以大量示例演示了相關概念，其中包括進行網絡分析必要的各種軟硬件基礎知識，網絡數據包的捕獲、發送、分析、文件轉儲等方面的內容。因此本書適合各層次的網絡分析人員使用，例如網絡軟件開發人員與網絡軟件測試人員從中可獲得許多網絡分析與軟件設計的知識；網絡安全工程師可以從中獲得網絡攻擊者所使用技術的一些細節知識。
本書涉及網絡協議、Windows內核驅動與網絡協議驅動、網絡分析、用戶應用軟件等諸多知識。為了防止大段大段的理論使讀者望而卻步，書中盡量從示例的演示開始講解，只在必要的時候才插入必需的理論說明，以幫助讀者理解。

前言第1章 揭開網絡分析的神秘面紗1.1 網絡分析概述1.2 網絡分析的主要用途1.3 黑客使用嗅探器的方法1.4 被嗅探數據的真面目1.4.1 使用嗅探器獲得FTP的用戶名和密碼1.4.2 使用嗅探器分析衝擊波蠕蟲（Blaster Worm）1.5 常見的網絡分析器1.6 網絡分析器的工作原理1.6.1 以太網簡介1.6.2 理解開放系統互連（OSI）模型1.6.3 瞭解CSMACD協議1.6.4 IP、ICMP、TCP與UDP協議1.6.5 硬件1.6.6 欺騙交換機1.7 嗅探器的檢測1.7.1 檢測嗅探器的原理1.7.2 防止網絡嗅探可採取的安全措施1.8 網絡分析工具的主要功能組成1.9 Wireshark的概述、安裝與使用1.9.1 Wireshark的概述1.9.2 Wireshark的安裝1.9.3 Wireshark的使用1.1 0小結第2章 初識網絡分析基礎庫WinPcap2.1 WinPcap概述2.2 WinPcap的優點2.3 WinPcap的使用者2.4 WinPcap的體系架構2.4.1 WinPcap的主要組成2.4.2 數據包捕獲的基本過程2.4.3 WinPcap的驅動程序2.4.4 WinPcap內核驅動的主要功能2.5 用戶空間庫接口函數2.5.1 wpcap.dll庫中的重要函數2.5.2 Packet.dll庫中的重要函數2.6 小結第3章 網絡分析工具的內核驅動基礎知識3.1 Windows驅動程序基礎知識3.1.1 驅動對象（DRIVER_OBJECT）3.1.2 設備對象（DEVICE_OBJECT）3.1.3 設備擴展（_DEVICE_EXTENSION）3.1.4 IRP與派遣函數3.1.5 同步處理3.1.6 內核的內存操作3.1.7 內存操作的運行時函數3.1.8 內核的註冊表操作3.2 NDIS協議驅動程序3.2.1 三種類型的網絡驅動程序3.2.2 協議驅動程序的特徵結構體3.3 小結第4章 編譯與使用WinPcap4.1 源代碼結構4.2 構建驅動程序NPF4.3 構建Packet.dll庫4.4 構建wpcap.dll庫4.5 安裝NPF驅動程序與各庫文件4.6 使用WinPcap庫進行程序開發的實例4.7 小結第5章 WinPcap驅動程序的初始化與清除5.1 驅動程序中的初始化函數DriverEntry5.1.1 DriverEntry函數的工作流程5.1.2 DriverEntry函數的具體實現5.2 驅動程序中的卸載函數DriverUnload5.3 小結第6章 獲得與釋放網絡適配器設備列表6.1 使用WinPcap選擇合適的適配器6.1.1 wpcap.dll庫導出的相應函數6.1.2 獲得與釋放網絡適配器列表的實例6.1.3 獲取已安裝設備高級信息的實例6.2 獲得網絡適配器列表的幕後6.2.1 wpcap.dll庫中獲得網絡適配器列表的實現6.2.2 Packet.dll庫中獲得網絡適配器列表的實現6.2.3 內核空間中獲得網絡適配器列表的實現6.3 釋放網絡適配器列表的實現6.4 小結第7章 打開與關閉適配器7.1 使用WinPcap打開與關閉適配器7.1.1 wpcap.dll庫導出的相應函數7.1.2 關鍵數據結構pcap_t 7.1.3 打開與關閉網絡適配器的實例7.2 打開與關閉適配器的幕後7.2.1 打開適配器的實現7.2.2 關閉適配器的實現7.3 小結第8章 數據包的發送8.1 使用WinPcap發送數據包8.1.1 wpcap.dll庫導出的相應函數8.1.2 數據包發送實例8.2 數據包發送的幕後8.2.1 發送單個數據包的實現8.2.2 單個數據包發送多次的實現8.2.3 發送隊列方式的實現8.3 小結第9章 數據包的內核過濾9.1 基礎知識9.1.1 flex和bison簡介9.1.2 #line宏9.1.3 以太網的典型幀結構9.1.4 數據包過濾的原理簡介9.1.5 BPF虛擬機9.1.6 Tcpdump與WinDump 9.1.7 BPF指令集實例9.1.8 BPF過濾器的優化研究9.1.9 BPF系統架構9.2 WinPcap數據包過濾基礎9.2.1 數據包過濾過程9.2.2 過濾表達式9.2.3 編譯過濾表達式生成過濾器的字節碼9.2.4 把過濾器字節碼傳遞給內核9.3 使用WinPcap過濾數據包9.3.1 wpcap.dll庫導出的相應函數9.3.2 使用過濾器的實例9.4 數據包過濾的幕後9.4.1 wpcap.dll庫中相應函數的實現9.4.2 Packet.dll庫對應的函數9.4.3 驅動程序中對應的函數9.4.4 NPF_tap函數的數據包過濾部分9.5 小結第10章 數據包的接收10.1 使用WinPcap接收數據包10.1.1 wpcap.dll庫導出的相應函數10.1.2 數據包接收的實例10.2 數據接收的幕後10.2.1 wpcap.dll庫中相應函數的實現10.2.2 Packet.dll庫中相應函數的實現10.2.3 內核空間部分的實現10.3 小結第11章 統計網絡流量與網絡狀態11.1 使用WinPcap進行網絡統計的方法11.1.1 wpcap.dll庫導出的相應函數11.1.2 統計實例11.2 網絡統計的幕後11.2.1 工作模式11.2.2 模式設置函數11.2.3 網絡流量統計的實現11.2.4 網絡狀態統計的實現11.3 小結第12章 文件的存儲與讀取12.1 libpcap文件存儲格式12.1.1 轉儲文件的頭信息12.1.2 每個數據包的頭信息12.2 使用WinPcap進行文件存儲與讀取12.2.1 wpcap.dll導出的相應函數12.2.2 文件存儲與讀取的實例12.3 數據包文件存儲的幕後12.3.1 pcap_dump_open函數12.3.2 pcap_dump函數12.3.3 pcap_dump_flush函數12.3.4 pcap_dump_close函數12.4 數據包文件讀取的幕後12.5 內核文件轉儲的實現12.5.1 wpcap.dll庫中相應函數的實現12.5.2 Packet.dll庫中相應函數的實現12.5.3 驅動程序中對應的函數12.6 小結第13章 修改源代碼13.1 給wpcap.dll增加設置重複發送次數的函數13.1.1 修改步驟13.1.2 測試結果13.2 修改WinPcap的內核驅動代碼13.2.1 支持內核轉儲功能13.2.2 測試內核統計與轉儲模式13.2.3 支持大量數據包的轉儲13.2.4 內核驅動程序修改後的源文件13.3 小結第14章 性能測試與分析14.1 測試環境14.2 測試實例14.2.1 不同發送方式的比較14.2.2 發送不同數據包長度的比較14.2.3 不同接收方式的比較14.3 小結附錄A 源語法規範附錄B 過濾表達式規範附錄C SYN洪泛攻擊的詳細資料附錄D ARP欺騙資料參考文獻·