E-m-e-k-a/Wireshark-Traffic-Analysis

# Wireshark 流量分析 ## 📊 项目概述 网络流量分析练习，旨在展示对 TCP/IP 协议、数据包检查以及使用 Wireshark 进行网络通信模式的实际理解。本项目记录了动手进行的数据包捕获与分析会话，重点关注协议行为、连接建立以及流量过滤技术。 ## 🎯 学习目标 - 理解 TCP 三次握手机制 - 在数据包级别分析网络流量 - 应用显示过滤器进行针对性分析 - 识别正常与可疑的网络模式 - 记录网络取证方法论 ## 🛠️ 工具与环境 **分析工具：** - Wireshark（最新版本） **实验环境：** - Kali Linux 2024 - VirtualBox 网络（NAT/桥接） - 命令行工具（curl、ping） ## 📚 已完成会话 ### 会话 1：TCP 三次握手分析 **日期：** 2026 年 4 月 11 日 **目标：** 捕获并识别 TCP 连接建立过程 **方法论：** 1. **流量生成** - 使用 `curl http://example.com` 生成简单 HTTP 请求 - 单次连接以便进行干净的数据包捕获 2. **数据包捕获** - 接口：eth1（联网适配器） - 过滤器：`tcp`（仅显示 TCP 数据包） - 结果：捕获 12 个 TCP 数据包 3. **分析** - 定位 TCP 三次握手序列 - 检查数据包中的 TCP 标志位 - 验证 SYN → SYN-ACK → ACK 模式 **关键发现：** **数据包 1（SYN）：** - 源端口：51950 - 目标端口：80 - 标志：0x002（SYN） - 目的：客户端发起连接 **数据包 2（SYN-ACK）：** - 源端口：80 - 目标端口：51950 - 标志：0x012（SYN，ACK） - 目的：服务器确认并响应 **数据包 3（ACK）：** - 源端口：51950 - 目标端口：80 - 标志：0x010（ACK） - 目的：客户端确认连接已建立 ## 🔍 展示的技术概念 ### TCP 三次握手 **目的：** 在数据传输前建立可靠连接 **过程：** 1. **SYN（同步）** — 客户端请求连接 2. **SYN-ACK（同步-确认）** — 服务器接受并确认 3. **ACK（确认）** — 客户端确认接收 **安全相关性：** - 端口扫描检测（仅发送 SYN 而不完成握手） - 连接跟踪用于防火墙规则 - 识别半开连接（潜在攻击） - 网络故障排查（握手失败表示连接问题） ## 🎓 培养的技能 **技术技能：** - Wireshark 界面导航 - 显示过滤器语法（`tcp`、`http`、`ip.addr`） - TCP/IP 协议分析 - 数据包检查与解读 - 网络故障排查方法论 **安全分析：** - 正常与异常流量模式识别 - 连接建立验证 - 协议行为理解 - 网络取证基础 ## 📈 后续计划 **计划会话：** - 会话 2：HTTP 流量分析 - 会话 3：高级过滤技术 - 会话 4：可疑流量识别 - 会话 5：网络取证案例研究 ## 🔒 伦理声明 所有网络流量分析仅在以下环境中进行： - 仅限个人实验环境 - 授权系统与网络 - 仅限教育用途 - 未进行未经授权的数据包捕获 ## 📞 联系方式 **GitHub：** [@E-m-e-k-a](https://github.com/E-m-e-k-a) **日期：** 2026 年 4 月 **⭐ 致力于为 SOC 分析师职业路径构建实用的网络分析技能**

标签：HTTP请求分析, SYN标志, TCP/IP协议, TCP三次握手, Wireshark, 会话分析, 句柄查看, 学习笔记, 实验记录, 抓包分析, 显示过滤器, 端口分析, 网络协议分析, 网络安全实践, 网络流量分析, 网络通信模式, 虚拟化网络