vchoudhary480/Wireshark-Network-Analysis

# Wireshark 网络流量分析 我想看看我的家庭网络上到底有哪些数据在以明文传输。结果发现，比我预想的要多。 这个项目包含两部分。首先，我分析了 Wireshark wiki 中的一个 Telnet 示例抓包文件，提取了登录凭据和完整的命令历史记录，这些数据全部未经加密。其次，我抓取了自己网络上的实时流量，发现即使我所有的 Web 流量都使用了 HTTPS，DNS 查询仍会向同一个 Wi-Fi 上的所有人泄露我访问的每一个域名。 我还编写了一个 Python 脚本来自动化整个过程。将其指向任何 `.pcap` 文件，它就会标记出明文凭据、不安全的协议、DNS 泄露，并将所有内容映射到 MITRE ATT&CK。 ## 工具 - Wireshark 4.6.4 - Python 3 + Scapy - Windows 11 ## 目录结构 ``` scripts/analyze_pcap.py # automated pcap analyzer tests/test_analyze.py # unit tests captures/ # pcap files (gitignored, too large to track) reports/findings_report.md # full write-up with screenshots screenshots/ # wireshark evidence ``` ## 运行方式 ``` pip install -r requirements.txt python scripts/analyze_pcap.py captures/telnet-cooked.pcap ``` 你可以从 [Wireshark 示例抓包](https://wiki.wireshark.org/SampleCaptures) 获取 `telnet-cooked.pcap`。将其放入 `captures/` 目录中，然后运行上述命令。 测试： ``` python -m pytest tests/test_analyze.py -v ``` ## 脚本捕获的内容 - Telnet 击键恢复（剔除 IAC 协商字节，重建输入的内容） - 明文中的 FTP 凭据（密码在输出中会被掩码处理） - 未加密的 HTTP 请求 - DNS 查询日志记录 - 不安全端口检测 - 每项发现的 MITRE ATT&CK ID ## 发现 | 内容 | 严重程度 | MITRE | |------|----------|-------| | 明文传输的 Telnet 登录凭据 | 严重 | T1040, T1078 | | 完整的认证后命令历史记录暴露 | 严重 | T1040 | | 局域网上的任何人都可读取 DNS 查询 | 中等 | T1040 | | 所有 Web 流量均已正确加密 (HTTPS) | 提示信息 | --- | 详细信息、截图和建议请见 [`reports/findings_report.md`](reports/findings_report.md)。

标签：Python, Scapy, Wireshark, 代码示例, 凭证提取, 句柄查看, 安全规则引擎, 数据分析, 无后门, 网络流量分析, 逆向工具, 防御绕过