Herdomain/network-traffic-analysis

# 🌐 网络安全分析 (Wireshark & Nmap) 每一个开放端口都是潜在的入口点。每一个数据包都在讲述故事。 本项目使用 Wireshark 和 Nmap 来揭示网络上的暴露情况，分析系统间的通信方式，并在攻击者之前识别风险。 ## 分析内容 在模拟环境中，结合网络扫描和流量捕获，构建了网络攻击面的完整图景： - **Nmap** — 扫描开放端口和活动服务，重点关注 Telnet (23) 和 RDP (3389) 等常被利用的端口 - **Wireshark** — 捕获实时流量，以在数据包层面分析通信模式、协议行为和异常情况 - **关联分析** — 将开放端口发现结果与捕获的流量进行交叉对比，从而将暴露点与实际使用情况联系起来 ## 关键发现 - 识别了模拟网络中的开放端口和活动服务 - 标记了在常被利用端口上暴露的高风险服务 - 分析了数据包层面的流量，以理解系统通信模式并揭示异常 ## 成果与输出 - Nmap 扫描结果（包含开放端口和服务清单） - Wireshark 数据包捕获（含注释流量分析） - 暴露服务的风险评估 ## 如果发现可疑流量 1. **验证** — 确认异常流量模式；排除预期服务或配置错误的工具 2. **调查** — 识别源 IP 和目的 IP；分析协议行为、频率和时间 3. **上报** — 标记潜在的恶意活动，如端口扫描或未授权访问尝试；记录并通知相应的团队 4. **遏制** — 建议封锁可疑 IP 并禁用不必要的开放端口 5. **改进** — 增加对高风险端口的监控；实施基于网络的告警规则 ## 框架对标 | 框架 | 应用 | |---|---| | MITRE ATT&CK | 技术映射 — 侦察、初始访问 | | NIST SP 800-61 | 检测与响应工作流 | | CIS Controls | 开放端口风险评估和网络监控 |

标签：AMSI绕过, CTI, GitHub, Nmap, Wireshark, 协议分析, 句柄查看, 威胁检测, 密码管理, 插件系统, 攻击面分析, 数据统计, 服务枚举, 本地模型, 权限提升, 模拟环境, 漏洞分析, 端口扫描, 网络安全, 虚拟驱动器, 路径探测, 防御绕过, 隐私保护