toyin-soc-analyst/Wireshark-Network-Traffic-Analysis-Threat-Detection-

# 🛡️ 使用 Wireshark 进行 SOC 级网络流量分析与威胁检测 ## 🎯 目标 使用 Wireshark 分析网络流量，识别异常、可疑行为以及 TCP、DNS 和 ICMP 协议中的潜在安全威胁，模拟真实的 SOC 分析场景。 ## 📌 项目概述 本项目展示了使用 Wireshark 分析真实 PCAP 数据以检测异常流量模式、调查可疑连接并识别潜在安全威胁的实践经验。 ## 🛠️ 工具与技术 - Wireshark - TCP/IP 协议套件 - DNS 分析 - 网络流量过滤 - 数据包检查 ## 🔍 关键发现 - 识别出来自内部 IP **10.10.57.178** 的高流量，可能表明潜在异常或异常行为 - 检测到多个针对非常用端口（如 **8888、9999、4444、6666**）的 TCP SYN 数据包，可能表明 **端口扫描活动** - 分析 DNS 查询与响应模式，以识别正常与可疑行为 - 检测到 **无效 TCP 校验和** 的数据包，可能表明畸形流量或数据包异常 - 观察到重复尝试连接外部 IP，符合侦察行为特征 ## 📊 示例分析 **调查示例：** - 源 IP：192.168.1.100 - 目标 IP：101.201.172.235 - 协议：TCP - 活动：向多个端口发送 SYN 数据包 - 解释：潜在侦察或端口扫描尝试 ## 🧠 展示技能 - 网络流量分析 - 威胁检测与调查 - 数据包检查（Wireshark） - 异常识别 - 网络安全分析 ## 📷 截图 ### 可疑 TCP 活动 （在此添加截图） ### DNS 流量分析 （在此添加截图） ## 🚀 核心要点 本项目展示了分析真实网络流量、检测异常并使用符合 SOC 运营的行业标准工具与方法解读潜在安全威胁的能力。

标签：AMSI绕过, CSV导出, DNS, DNS查询分析, ICMP, IP 地址批量处理, SYN扫描, TCP, TCP校验和异常, Wireshark, 包分析, 协议分析, 句柄查看, 域名解析, 威胁检测, 并发处理, 异常检测, 数据包检查, 数据统计, 权限提升, 流量过滤, 端口扫描, 网络安全, 网络流量分析, 重传与异常连接, 防御绕过, 隐私保护