adipatil-0/Network-Traffic-Analysis-Wireshark

# 使用 Wireshark 进行网络流量分析 ## 项目概述 本项目演示了在受控实验室环境中使用 Wireshark 进行实时数据包捕获和网络流量分析。 本项目的目标是识别正常和可疑的流量模式，例如： - ICMP Ping 流量 - DNS 查询 - HTTP 请求 - HTTPS / TLS 流量 - TCP SYN 扫描 - 端口扫描活动 - ICMP 目的不可达消息 本项目仅在安全的本地环境中执行，用于学习和教育目的。 ## 目标 - 捕获实时网络流量 - 识别正常协议和通信模式 - 分析 DNS、HTTP、HTTPS 和 ICMP 流量 - 检测 SYN 扫描和端口扫描活动 - 使用 Wireshark 显示过滤器进行数据包分析 - 记录调查结果并编写事件报告 - 准备截图和证据用于作品集和简历 ## 使用的工具 - Wireshark - Nmap - hping3 - tcpdump - Kali Linux - VMware Workstation ## 实验室环境 | 组件 | 详情 | |---|---| | 操作系统 | Kali Linux | | 虚拟化 | VMware Workstation | | 数据包分析器 | Wireshark | | 测试机 IP | 192.168.75.128 | | 测试的外部 IP | 8.8.8.8 | | 目标扫描 IP | 192.168.1.10 | ## 执行的网络活动 ### 1. ICMP 流量分析 使用 ping 请求向 8.8.8.8 生成 ICMP 流量。 使用的过滤器： ``` icmp ``` 观察结果： - 回显请求数据包 - 回显应答数据包 - 成功确认连接性 - TTL 和响应时间 ### 2. DNS 流量分析 使用对 google.com 的域名查询生成 DNS 流量。 使用的过滤器： ``` dns ``` 观察结果： - A 记录 DNS 查询 - AAAA 记录 DNS 查询 - DNS 应答数据包 - 解析出的 IPv4 和 IPv6 地址 ### 3. HTTP 流量分析 使用 curl 请求生成 HTTP 流量。 使用的过滤器： ``` http ``` 观察结果： - HTTP GET 请求 - HTTP/1.1 200 OK 应答 - 未加密的网页流量 ### 4. HTTPS / TLS 流量分析 通过访问安全网站生成 HTTPS 流量。 使用的过滤器： ``` tls ``` 观察结果： - TLSv1.3 客户端问候 - 服务端问候 - 应用数据 - 安全的加密通信 ### 5. SYN 扫描和端口扫描分析 对本地目标主机执行 TCP SYN 扫描。 使用的过滤器： ``` tcp.flags.syn == 1 && tcp.flags.ack == 0 ``` 观察结果： - 大量 SYN 数据包 - 多个目标端口被扫描 - 顺序端口探测 - 侦察行为 观察到的端口： - 21 (FTP) - 22 (SSH) - 23 (Telnet) - 25 (SMTP) - 80 (HTTP) - 443 (HTTPS) - 993 (IMAPS) - 1723 (PPTP) - 3306 (MySQL) - 8080 (HTTP 备用) ## 关键发现 - 成功捕获了 ICMP、DNS、HTTP 和 HTTPS 等正常流量。 - DNS 请求成功解析了 google.com。 - HTTP 流量显示了成功的 GET 和 200 OK 应答。 - TLS 流量展示了安全的加密会话。 - SYN 扫描活动揭示了目标主机上多个被扫描的端口。 - 端口扫描行为表明可能存在侦察活动。 - 还观察到了 ICMP 目的不可达消息。 ## Wireshark 过滤器速查表 | 用途 | 过滤器 | |---|---| | ICMP 流量 | icmp | | DNS 流量 | dns | | HTTP 流量 | http | | HTTPS / TLS 流量 | tls | | SYN 数据包 | tcp.flags.syn == 1 && tcp.flags.ack == 0 | | TCP 重置数据包 | tcp.flags.reset == 1 | | 重传 | tcp.analysis.retransmission | | 源 IP 过滤 | ip.src == 192.168.75.128 | | 目标 IP 过滤 | ip.dst == 192.168.1.10 | ## 包含的截图 - ICMP 流量 - DNS 流量 - HTTP 流量 - HTTPS / TLS 流量 - SYN 扫描流量 - ICMP 目的不可达流量 - Wireshark 数据包详情 - 端口扫描证据 ## 事件摘要 在数据包分析期间识别出针对多个端口的可疑 TCP SYN 数据包。观察到的行为与侦察和端口扫描活动一致。 风险等级：中 建议： - 限制不必要的开放端口 - 启用防火墙规则 - 配置 IDS/IPS 警报 - 监控重复的 SYN 数据包 - 启用可疑活动的日志记录 ## 项目结构 ``` Network-Traffic-Analysis-Wireshark/ │ ├── screenshots/ │ ├── icmp-traffic.png │ ├── dns-traffic.png │ ├── http-traffic.png │ ├── https-traffic.png │ ├── syn-scan.png │ ├── unreachable-host.png │ ├── pcap/ │ └── network_capture.pcapng │ ├── report/ │ └── incident_report.docx │ └── README.md ``` ## 简历要点 - 使用 Wireshark 执行实时数据包捕获和协议分析，以识别 ICMP、DNS、HTTP、HTTPS 和 TCP 流量。 - 使用 Wireshark 过滤器和数据包级分析检测 TCP SYN 扫描和端口扫描行为。 - 创建了包含证据、截图、调查结果和缓解建议的完整事件报告。 ## 免责声明 本项目仅在受控的本地实验室环境中进行，用于教育和学习目的。 不要在公共或未授权的系统上执行扫描或数据包捕获活动。

标签：CTI, DNS分析, hping3, HTTPS分析, HTTP分析, ICMP, IP 地址批量处理, SEO: SYN扫描, SEO: Wireshark 项目, SEO: 包捕获实验, SEO: 网络流量分析, SYN扫描检测, TLS流量, VMware, Wireshark, 包捕获, 协议分析, 句柄查看, 后渗透, 实验室环境, 数据统计, 权限提升, 端口扫描, 网络取证分析, 网络安全学习, 网络流量分析, 防御绕过