lafandoor/NetFlow-Traffic-Audit

# NetFlow 流量审计：网络行为分析与取证 本仓库记录了一个专业的网络流量分析项目，重点关注行为基线、隐蔽侦察检测以及服务暴露映射。结合使用 Wireshark 和 Nmap，展示了网络从正常操作到主动威胁演进的过渡。 **🔗 [访问实时取证门户](https://lafandoor.github.io/NetFlow-Traffic-Audit/)** ## 🔎 分析目标 - **深度数据包检测（DPI）**：对 TCP/IP 栈中 85,000+ 个协议帧进行详细分析。 - **侦察归因**：识别隐蔽的 SYN 扫描特征，并在网络层映射 Nmap 的时间模板。 - **暴露分析**：记录未加密 HTTP 流中的明文数据泄露，并映射服务响应头。 - **行为基线**：建立 DNS、HTTPS 和本地主机交互的统计规范。 ## 🏗️ 实验室环境 * **平台**：Kali Linux（VMware NAT） * **目标**：本地网关（192.168.1.1）和本地主机（127.0.0.1） * **工具引擎**：Wireshark 4.x、Nmap 7.95、Tcpdump、Curl、Apache2。 ## 🛠️ 性能时间线 我通过四个不同阶段执行捕获，以模拟自然的攻击演进： 1. **基线**：正常的网页浏览（DNS/HTTPS）。 2. **映射**：使用 ICMP Ping 进行主动连接检查。 3. **侦察**：针对 1000 个端口的隐蔽 SYN 扫描。 4. **枚举**：成功与 80 端口的本地 Apache 服务器交互。 ## 📁 仓库结构 * **/assets**：CSS、JS 及所有可视化证据。 * **/captures**：供审查的原始 `.pcap` 捕获文件。 * **index.html**：完整的交互式分析报告。 ## 💡 关键收获 最大的洞见在于，当你使用正确的过滤器时，“隐蔽”扫描在 Wireshark 中会非常明显。这也提醒我 HTTPS 是不可协商的——看到明文的 HTTP GET 请求在网络中明文飞逝，是对网络安全的一次巨大警醒。 ### 作者 **Youssef Moataz** *如果你发现此分析有帮助，请给本仓库一颗 ⭐！*

标签：AMSI绕过, Apache, AWS, CTI, DLL注入, DNS分析, DPI, HTTPS, HTTP流量, IP 地址批量处理, NetFlow, Nmap, PCAP分析, SYN扫描, Wireshark, 侦察检测, 协议分析, 取证审计, 句柄查看, 后端开发, 域名解析, 基线分析, 威胁检测, 安全研究社区, 安全运营中心, 实验室环境, 抓包分析, 数据统计, 无线安全, 明文泄露, 服务暴露, 权限提升, 流量可视化, 流量审计, 深度包检测, 端口扫描, 网络安全, 网络安全分析, 网络映射, 网络流量分析, 网络行为分析, 虚拟驱动器, 行为基线, 防御绕过, 隐私保护