读书笔记之《Wireshark网路分析就这么简单》篇，作者林沛满，豆瓣评分8.4，很高的一个评分。

它是我网络技术提升计划系列读的第一本书，本次计划共列四本书，主攻林沛满老师的两本书。衷心的希望在原有网络技术知识的基础上，深入研习此次计划的四本书，使得自己的网络技术水平，能有一个较大幅度的提升，至少可以轻松应对日常抓包分析、服务器网络故障等基本网络分析问题。

Life is tough, but wireshark makes it easy.

用wireshark抓包分析两台子网掩码误配的服务器是否能够正常通信，挺有意思。

在同一子网内，可直接通信，而如果不在同一子网内，则需要通过网关进行转发数据包进行通信。

那么问题来了如何判断两个主机是否在同一子网内？

将主机A的IP与其子网掩码作与运算（&）

将主机B的IP与其子网掩码作与运算（&）

将上面得到的结果进行比较，如果结果相同则为同一子网，如果不同则不是同一子网。

注：子网掩码是用来判断任意两台计算机的IP地址是否属于同一子网的根据。子网掩码与IP地址结构相同，是32位二进制数，其中网络号部分全为“1”和主机号部分全为“0”。利用子网掩码可以判断两台主机是否在同一子网中。若两台主机的IP地址分别与它们的子网掩码相“与”后的结果相同，则说明这两台主机在同一子网中。

通过wireshark研究Excel文件的保存过程

Wireshark一些实用的小技巧

1）抓包。只抓包头、只抓必要的包、写个脚本循环抓包，等观察到某事件时自动停止。

2）个性化设置。时间同步、不同类型的网络包可以自定义颜色。

3）过滤。比如按协议过滤，但是有注意协议之间的依赖；

IP地址家PORT号是常用的方式，如ip.addreq <ip> && tcp.porteq <port>之类的过滤表达式，也可右键感兴趣的包Follow Stream。

两端的IP加PORT可以过滤出一个TCP/UDP，方法为单击Wireshark的Statistics->Conversations，再单击TCP或者UDP标签就可以看到所有的Stream。

使用鼠标帮忙过滤（Wireshark太过于强大，合适的过滤表达式并不是那么好写）

我们可以把过滤后得到的网络包存在一个新的文件里，因为小文件更加方便操作，单击Wireshark的File->Save As，选中Displayed单选按钮再保存，得到的新文件就是过滤后的部分。但有时候，保存过滤后的文件再打开时会显示很多错误，这是因为过滤后得到的不再是一个完整的TCP Stream，就像抓包时漏抓了很多一样，所以选择Displayed选项时要慎重考虑。

总体来说，过滤是Wireshark中最有趣，最难，也是最有价值之处，值得我们用心学习。

4）让Wireshark自动分析。Analyze->Expert Information，可以在不同标签下看到不同级别的提示信息。比如重传的统计、连接的建立和重置统计等等。此外Statisitics还有许多有意思的功能。

5）最容易上手的搜索功能。"Ctrl+F"之后选中"String"单选按钮，然后就可以进行字符串搜索了。

Patrick的故事

Patrick是一位大牛，多次帮助于作者，他所研究的领域似乎没有边界。而Wireshark就像一把利剑，在网络分析领域所向披靡，TCP/IP在Wireshark面前毫无秘密可言。

Wireshark的前世今生

Gerald Combs “I spent several months doing research and making notes”1998年7月Ethereal面世了，Ethereal的商标权归属于Gerald所在的公司NIS，而代码的版权则属于Gerald。商标的归属权问题，于2006年Gerald离开NIS加入CACE的时候，引起了一场风波，由于Gerald与老东家在Ethereal的商标问题上无法达成一致，Gerald把项目改名为Wireshark，并一直开源免费至今。

改变世界的IT英雄可以像Jobs一样领导一个成功的公司，也可以像Gerald一样创造一件传世的作品，他们的成就一样会被镌刻在IT历史的丰碑上。

NFS协议的解析

Network File System（NFS）协议是由SUN（Stanford University Network）公司设计的。顾名思义，NFS就是网络上的文件系统，NFS服务器提供了两个共享目录/code和/document,，分别被挂在到多台客户端的本地目录上。当用户在这些本地目录读写文件时，实际上是不知不觉地在NFS服务器上读写。

作者使用Wireshark分析了NFS挂载过程的每个步骤，理清楚了NFS安全机制，还研究了读写过程的各个细节。

由于时间问题本小结暂时略过Mark了，以后碰到这类问题再过来看。

从Wireshark看网络分层

Ethernet II, Src  （网络接口层，亦即数据链路层，可以看到两个设备的MAC地址）

Internet Protocol, Src（网络互连层，亦即网络层，关键词IP）

Transmission Control Protocol, Src Port （传输层，这一层用到了TCP协议）

Hypertext Transfer Protocol （应用层）

用书中NFS的抓包例子

非常简单明了，加上物理层，就是通用的TCP/IP五层网络模型。结合当年学的计算机网络知识，真的是醍醐灌顶。

<20180806 未完待续>