sumaiyafathima-code/Network_Packet-_Analysis_with-_Wireshark

# 使用 Wireshark 进行网络数据包分析 #捕获并分析网络流量，以识别可疑活动，例如 ARP 欺骗或未经授权的端口扫描。 ## 📌 项目概述 本项目演示了使用 **Wireshark** 进行实际网络流量分析，重点检测： - 正常与异常网络行为 - 端口扫描 (Nmap SYN 扫描) - DNS 异常 - 数据包级取证 - 威胁检测工作流 - *(FTP 暴力破解将在稍后添加)* 目的是了解攻击者的行为，以及 SOC 分析师如何利用数据包捕获检测早期的网络威胁。 ## 📌 1. 项目目标 通过完成本项目，我学到了： - Wireshark 如何捕获和解析数据包 - 如何区分正常与异常流量 - 如何检测侦察尝试 - 如何识别基于 DNS 的异常 - 如何分析 TCP 标志和 DNS 响应 - 如何像 SOC 分析师一样记录发现 ## 📌 2. 使用的工具 - **Wireshark** - **Nmap** - **Windows PC** - **(即将推出)** FileZilla Server + Client ## 📌 3. 正常流量基线 PCAP: `normal_traffic.pcapng` 正常流量包含： - DNS 查询 - HTTPS 流量 - 操作系统后台连接 - 无可疑模式 基线有助于对比正常与异常活动。 ## 📌 4. 端口扫描检测 (Nmap SYN 扫描) PCAPs: - `portscan_full_capture.pcapng` - `portscan_syn_only.pcapng` SYN 扫描是一种隐蔽扫描，使用： ``` SYN → SYN/ACK → RST ``` ### 🔍 Wireshark 中的指标： - 大量突发的 SYN 数据包 - 端口按顺序扫描 (1–2000) - 来自受害者的 RST 响应 - 没有完整的 TCP 握手 含义：**攻击者侦察活动**。 ## 📌 5. DNS 异常检测 PCAPs: - `dns_anomaly.pcapng` - `dns_full_capture.pcapng` ### 🔍 指标： - 随机域名查询 - 多次查询失败 - NXDOMAIN 错误 - 可疑的 TLD (.xyz, .zip, .ru) 含义：**可能的恶意软件、僵尸网络或配置错误**。 ## 📌 6. 学到的数据包级威胁检测技能 - TCP 三次握手分析 - DNS 查询/响应检查 - 识别可疑模式 - 理解攻击者技术 - SOC 级别告警和文档记录 ## 📌 7. 发现摘要 ✔ 正常流量：干净 ✔ 端口扫描：已检测 ✔ DNS 异常：已检测 ✔ FTP 暴力破解：*(待添加)* ## 📌 8. FTP 暴力破解 (即将推出) 将包括： - 明文 FTP 凭证泄露 - 暴力破解序列 - 530/230 响应代码分析 - SOC 调查 ## 📌 9. 项目文件夹结构 ``` wireshark-network-analysis-project/ │ ├── README.md ├── pcap-files/ │ ├── normal_traffic.pcapng │ ├── portscan_full_capture.pcapng │ ├── portscan_syn_only.pcapng │ ├── dns_anomaly.pcapng │ └── dns_full_capture.pcapng └── screenshots/ ``` ## 📌 10. 如何运行此项目 1. 安装 Wireshark 2. 加载 `.pcapng` 文件 3. 使用过滤器： ``` tcp.flags.syn==1 && tcp.flags.ack==0 dns dns.flags.rcode != 0 ``` 4. 分析流 5. 记录发现 ## 📌 11. 结论 本项目教授 SOC 级别的数据包分析和威胁检测。 添加 FTP 后，它将成为一个完整的高级网络取证项目。 # 使用 Wireshark 进行网络数据包分析

标签：AMSI绕过, arp欺骗, Beacon Object File, CTI, DNS异常, GitHub, HTTP/HTTPS抓包, IP 地址批量处理, Nmap, PCAP分析, SOC分析, SYN扫描, TCCP, TCPDump, Wireshark, 包捕获, 协议分析, 句柄查看, 域名解析, 威胁检测, 密码管理, 态势感知, 恶意软件通信, 数字取证, 数据统计, 权限提升, 流量基线, 端口扫描, 网络安全, 网络安全实验, 自动化脚本, 虚拟驱动器, 防御绕过, 隐私保护