Program WireShark je známá open-source aplikace pro odchytávání paketů na počítačové síti a její následnou analýzu. Druhé jméno uvedené v titulku knihy - Ehtereal - je původní název programu Wireshark. K přejmenování došlo z licenčních důvodů v polovině roku 2006.
První kapitola obsahuje všehochuť základních znalostí spojených s odchytáváním paketů a analýzou sítě. Je zde např. popsán OSI model sítě, motivace k odchytávání paketů, problematika odchytávání na přepínačích, úvod do protokolů rodiny TCP/IP. Lze zde najít i informace spojené se zneužíváním analyzátorů sítě útočníky, detekcí odchytávání paketů a ochraně před odchytáváním paketů.
Druhá kapitola je krátkým úvodem do používání programu Wireshark. Většina témat je podrobněji rozepsána v následujících kapitolách. Třetí kapitola obsahuje jednoduchou kuchařku na získání a instalaci programu.
Na přibližně 75 stránkách čtvrté kapitoly autoři popisují uživatelské rozhraní programu včetně ukázek obrazovek a ukázek vytvářených grafů. Na konci kapitoly jsou uvedeny parametry, které lze uvést na příkazové řádce při spuštění programu.
Program Wireshark používá dva rozdílné typy filtrů, které se i odlišně zapisují. Zachytávací filtry se používají pro omezení odchytávaných paketů a pro zápis pravidel se používá syntaxe ze známého programu tcpdump. Zobrazovací filtry umožňují z již odchycených paketů vybírat pakety zajímavé pro vlastní analýzu. Oba typy filtrů autoři popsali v páté kapitole, která obsahuje i mnoho příkladů jejich použití.
Odchytávání paketů v bezdrátových sítích je složitější, než při připojení do sítě pomocí „drátu“. Závisí na umístění monitorovací stanice, na operačním systému, na typu bezdrátové karty a dalších okolnostech. Na začátku šesté kapitoly se čtenáři dozvědí o možnostech odchytávání paketů bezdrátové sítě a to nejen s využitím programu Wireshark, ale i pomocí programů AirPcap či Kismet. Na příkladech analýzy odchycených paketů pomocí programu Wireshark autoři vysvětlí i mnoho problémů bezdrátových sítí, např. identifikaci skrytých SSID, sdílení účtů pro ověřování pomocí protokolu EAP či různé útoky v sítích 802.11. Tato kapitola obsahuje i mnoho konkrétních ukázek možností programu Wireshark – příklady filtrů, obarvování odchycených paketů, různé typy grafů.
Sedmá kapitola nazvaná „Zachytávání paketů v praxi“ je spíše zklamáním. Jsou zde popisovány postupy, jak odhalit trojany a červy na počítačové síti. Výběr trojanů je zastaralý – NetBus je z roku 1998, BackOrifice z roku 1999, atd. V případě analýzy červů je to podobné (SQL Slammer z roku 2003, Code Red z roku 2001, Ramen též z roku 2001).
Osmá kapitola je určena pro vývojáře různých rozšíření pro Wireshark, hlavně modulů pro analýzu specifických protokolů. Poslední kapitola popisuje další programy, které se nainstalují společně s programem Wireshark. Nejzajímavější z nich je program tshark pro odchytávání paketů, který nepoužívá grafické uživatelské rozhraní. Tento program je zmiňován i několikrát v textu předchozích kapitol.
Seznámení se s odchytáváním paketů a analýzou síťového provozu považuji za nezbytnou součást kurzů počítačových sítí. Tato kniha míří ale spíš k profesionálním správcům sítí, kteří často potřebují odchytávat síťový provoz a následně jej analyzovat. Wireshark je pouze nástroj, v knize se správce dozví, jak ho efektivně používat. Pro vlastní analýzu provozu je dále potřeba znát podrobně analyzovaný protokol (např. SIP při problémech VoIP komunikace). Popis těchto protokolů není a ani nemůže být součástí této knihy a správce sítě se musí obrátit na jinou literaturu či na informační zdroje na Internetu.