前言

在网络运维工作中时常会遇到疑难故障，运维人员可以通过替换、升级、重启等方式予以解决，但运维人员往往并不清楚故障产生的根本原因。任何网络故障都会有相应的流量表现，因此通过网络流量分析技术能分析和解决很多网络相关的疑难杂症。同时，网络流量分析技术还可以用于研判网络中的安全攻击事件，因为任何攻击行为都会产生网络流量，在流量中可以发现攻击方法的蛛丝马迹。目前，在一些网络重点保障活动中，网络流量成为攻击研判、溯源取证的重要依据;在CTF竞赛中，流量分析也是一个标准竞赛项目。

撰写本书的目的


因流量分析涉及更多理论知识，且实验环境和样例数据包不易获取，对于初学者来说，网络流量分析是一项上手较难的技术。编者希望通过本书让网络运维与安全领域的从业人员、在校学生等了解当前主流的网络流量分析技术，并通过图例和实验演示，使读者掌握网络流量分析技术，提升技术水平。


科来CSNAS（科来网络分析系统）是由科来网络技术股份有限公司（以下简称科来公司）研发的一款比较有特色的免费网络流量采集与分析工具。读者可从科来公司的官方网站免费下载并使用该系统(技术交流版）。科来CSNAS界面友好、功能直观，与Wireshark和Fiddler相比，在日志分析、交易时序图展示等多个方面更符合中国人的思维习惯。

本书基于科来CSNAS介绍网络协议分析、典型故障的分析方法、网络攻击链还原方法等知识。这些知识具有通用性，因此本书所介绍的思路和技术也适用于其他分析工具。

本书的特色


（1） 示例丰富。每章都包含多个案例，最后两章分别从运维和安全的角度进行了案例讲解，且均来源于真实案例。

（2） 讲完即练。使读者通过实验达到所见即所得的效果，同时也在实验的过程中深入理解协议的精髓，真正做到博观而约取,厚积而薄发。


（3） 实操性强。本书编者均是网络安全、运维、监控等领域的专家，张津老师做过上千场培训，授课经验丰富； 于亮亮和左坚老师既是资深网络专家，又是安全领域的技术领路人，对安全的发展具有独特的观点； 蔡毅和朱柯达老师在网络安全、监控等方面也多有建树，获得十几个软件著作权和专利。他们都把多年积累的宝贵经验毫无保留地呈现在书中。


（4）  提供微课视频。本书针对重要知识点提供教学视频，授课老师张津是科来公司金牌讲师，他讲课生动风趣，对知识点的讲解深入浅出。通过本书的配套视频，读者可以达到事半功倍的学习效果。

致谢


感谢清华大学出版社在本书的策划、编辑、出版等方面付出的辛勤劳动，给予我们很多支持和帮助。

感谢科来公司的大力支持，没有他们的鼓励与帮助，本书不会顺利出版。

由于时间仓促，加上编者水平有限，书中难免存在不足之处，恳请广大读者和专家批评指正。


编者
2023年3月