Geddywendot/Network-Traffic-Analysis-Lab-

# 网络流量分析实验室 # 1. 网络流量分析与自动化实验室 ## 项目概述 本项目演示了如何使用 Python (Scapy) 和 TShark 自动化进行网络威胁狩猎和事件响应。重点在于将原始 PCAP 数据转化为可操作的安全情报，通过识别攻击生命周期和受感染主机来实现。 ### 事件响应 - NetSupport RAT 目标：利用提供的网络工件识别感染了远程访问木马 (RAT) 的工作站。 ### 展示的关键技能： TShark 自动化：使用命令行数据包分析快速提取主机名和用户名。 协议分析：深入分析 DHCP、NBNS 和 Kerberos 流量。 事件文档记录：创建符合 SOC 标准的专业报告。 快速入门：设置你的实验室 要复现此环境并进行分析，请按照以下步骤操作： 1. 环境准备 - IDE：安装 VS Code。 - 分析工具：安装 Wireshark（包含 TShark）。 - Python：确保已安装 Python 3.10+。 2. 数据获取 你需要一个数据包捕获 (PCAP) 文件进行分析。你可以使用两种方法： 练习方法（推荐）：访问 Malware-Traffic-Analysis.net 并下载 2026-02-28-traffic-analysis-exercise zip 文件。（密码通常是 infected）。 实时方法：使用 Wireshark 捕获你自己的网络流量 30 秒，然后在你的项目文件夹中将其保存为 .pcap 文件。 3. 安装 克隆此仓库并设置你的虚拟环境： # 创建并激活虚拟环境 ``` python -m venv venv source venv/bin/activate # On Windows use: .\venv\Scripts\activate ``` # 安装依赖项 ``` pip install -r requirements.txt ``` 4. 运行分析 将下载的 PCAP 放入 pcaps/ 目录，并运行检测脚本： ``` python scripts/detect_spoof.py ``` ### 使用的工具 Wireshark/TShark：数据包检查和过滤。 Python (Scapy)：自动化元数据提取。 VS Code：开发环境。 ### 文件结构 ``` Network-Traffic-Analysis-Lab/ ├── .gitignore # Keeps large PCAPs and junk out of GitHub ├── README.md # Your project "Front Page" (Problem/Solution) ├── requirements.txt # List of Python libraries (scapy, pyshark) ├── scripts/ # Where your automation lives │ ├── detect_spoof.py # Identify details of the host machime ├── pcaps/ # Store your capture files here │ └── 2026-02-28-lab.pcap # The specific lab file you're analyzing ├── reports/ # Where you store your final incident write-ups │ └── incident_01_report.md └── venv/ # Your Virtual Environment (Hidden/Ignored) ```

标签：DAST, DHCP, DNS 解析, HTTP工具, IP 地址批量处理, NBNS, NetSupport, pcap, PE 加载器, Python, RAT, Scapy, TShark, Wireshark, 协议分析, 句柄查看, 威胁情报, 安全实验室, 库, 应急响应, 开发者工具, 恶意软件分析, 攻击面映射, 数字取证, 无后门, 权限提升, 欺骗检测, 网络安全, 网络调试, 自动化, 自动化脚本, 逆向工具, 隐私保护