toyin-soc-analyst/network-traffic-analysis-lab

# 🔍 网络流量分析实验室 本项目展示了分析网络流量以检测恶意活动的实践经验，包括基于 HTTP 的恶意软件交付和基于 DNS 的命令与控制 (C2) 通信。 ## 🎯 目标 - 分析 HTTP 流量以识别恶意下载 - 检测可疑的 DNS 活动 - 利用 DNS TXT 记录识别 C2 通信 - 从网络流量中提取隐藏的 flag ## 🧪 场景 1：恶意 PowerShell 下载 (HTTP) 一名用户点击了钓鱼链接，从而触发了下载恶意 PowerShell 文件的 HTTP 请求。 ### 🔍 主要发现： - 识别出包含恶意文件的 HTTP 响应 - 检测到可疑的内容类型：`application/octet-stream` - 从 HTTP payload 中提取了嵌入的 flag ### 📸 证据：  ## 🧪 场景 2：DNS 数据窃取 (C2 通信) 一台受感染的系统使用 DNS TXT 记录与命令与控制 (C2) 服务器进行了通信。 ### 🔍 主要发现： - 检测到可疑域名：`c2.tryhackme.thn` - 识别出 DNS TXT 查询和响应 - 从 TXT 记录中提取了隐藏的命令 ### 🚨 找到的 Flag： ### 📸 证据：   ## 🧠 展示的技能 - 网络流量分析 - HTTP & DNS 协议分析 - 威胁检测与调查 - 识别 C2 通信 - SOC 分析师 1 级技能 ## 🛠 使用的工具 - TryHackMe 实验室环境 - 数据包检查（模拟 Wireshark 风格的分析） ## 🚀 总结 本实验室演示了攻击者如何： - 通过 HTTP 交付恶意软件 - 使用 DNS 作为隐蔽通道进行通信 理解这些技术对于检测现实世界的网络威胁至关重要。 ## 🔗 作者 **Oluwatoyin (Toyin)** - 网络安全爱好者 | SOC 分析师学员 - GitHub: https://github.com/toyin-soc-analyst - 新增网络流量分析实验室（HTTP & DNS 调查） - 🧾 关键入侵指标 (IOCs) - 恶意域名：c2.tryhackme.thn - 可疑文件：install.ps1 - 使用的协议：DNS TXT 用于 C2 通信

标签：C2通信, DNS分析, DNS隧道, HTTP分析, IPv6, IP 地址批量处理, OpenCanary, PowerShell, SOC分析, TryHackMe, Wireshark, 协议分析, 句柄查看, 命令与控制, 安全培训, 数据渗出, 权限提升, 网络威胁狩猎, 网络安全, 网络实验, 自定义DNS解析器, 隐私保护