LLM Wiki Layer

知识体系

这里是 vants.org 网络分析文章的二次知识编译层。它不替代原始文章，而是把历史原文重新组织成概念节点、问题域、来源证据和反向链接，帮助从故障现象、抓包片段或安全线索进入可复盘的知识路径。

进入原始文章档案浏览网络分析原文

原文保真正文、插图、评论和历史上下文仍保留在文章档案。

概念重组把分散案例编译为协议、工具、故障、安全四类问题域。

来源可查每个概念都回链到原文，关键结论以来源文章为证据。

持续更新新增文章后运行 ingest / compile / lint 即可刷新知识体系。

原始文章仍然保留在文章档案中

知识体系只负责把历史文章重新编译成概念节点；原先的分类页、年份列表、文章正文、插图和评论展现不在这里合并或替代。

进入原始文章档案进入网络分析文章列表

Core hubs

核心枢纽

[[网络分析方法论]]把访问慢、异常流量、劫持和设备路径问题转化为可观察、可验证、可复盘的证据链。[[TCP/IP 协议行为]]以真实故障为上下文组织 TCP、UDP、ARP、ICMP、HTTP 等协议行为。[[抓包与设备路径]]汇总主机侧工具、设备侧抓包、端口镜像和报文处理路径。[[安全与应急响应]]整理网站劫持、DNS 滥用、DGA、DDoS 和门户异常处置链路。[[故障案例库]]按“现象—路径—证据—结论”重组访问慢、连接异常、策略误报和路径变化案例。[[运维与服务质量]]从网络分析延伸到 IT 服务质量、运维体系、情报可视和团队能力建设。

Reading paths

按问题进入，而不是从时间线盲找

如果你手头已经有故障现象、抓包片段或安全线索，可以直接进入对应概念，再回到来源文章核对证据。

故障现象
访问慢、连接异常、策略误报和路径变化。
抓包片段
TCP/IP 行为、Wireshark、主机侧抓包和设备路径。
安全线索
DDoS、DNS 劫持、DGA、异常流量和应急响应。
历史原文
按年份、分类和旧站原貌浏览 207 篇来源。

Wireshark 中文专题库已接入

在原有 vants.org 网络分析文章概念层之外，新增 Wireshark Wiki 中文翻译专题，作为抓包设置、过滤器、协议参考、开发扩展和工具脚本的外部资料层。

进入 Wireshark 中文专题浏览全量归档

Wireshark topic

Wireshark 专题入口

Wireshark 中文专题库按入门、抓包设置、过滤器、协议参考、开发扩展和工具脚本组织 Wireshark Wiki 中文翻译资料。过滤器与显示集中查看 CaptureFilters、DisplayFilters、ColoringRules 和常用过滤表达式。协议参考进入 TCP、UDP、HTTP、ARP、ICMP、QUIC 等协议页面的中文参考归档。

Concept domains

领域概念

网络协议行为

[[TCP 连接与状态异常]]围绕三次握手、SYN/SYN-ACK、连接建立失败和协议栈异常组织 TCP 连接状态证据。来源：54 篇文章
[[TCP MSS 与路径 MTU]]整理 MSS 协商、PMTUD、DF 位、ICMP 差错和中间设备改写造成的分片类问题。来源：27 篇文章
[[TCP RST 与 Keepalive]]组织 RST 报文、连接复位、TCP 保活和会话异常释放相关案例。来源：45 篇文章
[[Delay ACK 与应用响应时间]]把 Delay ACK、传输层响应时间、应用响应时间和第三方延时纳入同一性能分析框架。来源：37 篇文章
[[ARP 行为与代理 ARP]]整理免费 ARP、代理 ARP、ARP 表更新老化和防火墙 ARP 处理差异。来源：21 篇文章
[[ICMP 差错与管理性过滤]]组织 ICMP 差错、管理性过滤、ping 攻击和 PMTUD 依赖的控制报文。来源：49 篇文章
[[IP 分片与超长帧]]整理 IP Fragment、超长帧、MTU、DF 位和中间路径转发限制。来源：17 篇文章
[[HTTP 行为与下载异常]]组织 HTTP 应用层行为、chunked 编码、网页慢和下载快慢差异。来源：95 篇文章

抓包工具与路径

[[Wireshark 分析]]汇总 Wireshark 过滤器、解码显示、协议字段解释和案例分析入口。来源：66 篇文章
[[主机侧抓包工具]]整理 tcpdump、snoop、nettl 等主机侧抓包方法与适用系统。来源：58 篇文章
[[交换机端口镜像]]汇总各品牌交换机端口镜像配置、观察口限制和现场采集注意事项。来源：47 篇文章
[[网络设备抓包]]整理防火墙、负载均衡、网关、抗 DDoS 等设备上的抓包方法。来源：30 篇文章
[[报文处理路径]]整理防火墙、负载均衡、交换机、VPN 等中间设备内部报文处理流程。来源：8 篇文章

故障与性能案例

[[访问慢分析]]汇总业务访问慢、网页打开慢、下载慢和多点对比性能分析案例。来源：20 篇文章
[[连接数与并发限制]]整理连接数限制、并发上限、间歇性访问慢和会话资源耗尽问题。来源：12 篇文章
[[防火墙路径故障]]汇总防火墙路径、策略、NAT、ARP 代理和设备差异导致的业务故障。来源：97 篇文章
[[负载均衡故障]]组织 F5、Radware、A10 等负载均衡设备相关抓包、MSS 和报文处理问题。来源：19 篇文章
[[多层业务系统分析]]整理多层架构业务应用、客户端—中间件—数据库链路和跨层定位方法。来源：35 篇文章

安全事件与异常流量

[[拒绝服务攻击]]汇总 DoS/DDoS、ACK flood、UDP 端口攻击和随机组播 ping 攻击案例。来源：25 篇文章
[[蠕虫与端口攻击]]整理蠕虫、SSH 端口攻击、扫描和端口滥用类安全事件。来源：17 篇文章
[[DNS 劫持与 DGA]]组织网站劫持、DNS 泛解析滥用、DGA 检测和域名解析异常。来源：33 篇文章
[[IDS/IPS 与策略误报]]整理 IDS/IPS 异常、策略误报、安全设备拦截和业务保存失败案例。来源：38 篇文章
[[异常流量发现定位管控]]把异常流量分析拆成发现、定位、管控和复盘的工作方法。来源：5 篇文章

自动编译说明

本索引由 scripts/wiki.cjs 按 llm-wiki 式流程编译：raw manifest → source-summary → concept → backlinks。raw 证据索引保存在 docs/.vitepress/wiki/raw/，每篇来源的编译摘要保存在 docs/.vitepress/wiki/source-summaries/，完整命中数据保存在 docs/.vitepress/data/wiki-concepts.json 和 docs/.vitepress/data/wiki-sources.json。