venkatavishnuvardhana/Network-Traffic-Analysis-Incident-Report

# 网络流量分析事件报告 # 企业网络流量分析与事件报告：命令与控制（C2）检测 ## 执行摘要 本事件响应报告详细阐述了对涉及一台表现出可疑出站Web流量的员工工作站的网络数据包捕获（`.pcap`）文件进行的取证分析。通过隔离未加密的应用层协议，我成功识别出一个复杂的命令与控制（C2）信标基础设施，该基础设施利用了旨在模仿合法Microsoft云服务的域名仿冒（typosquatting）技术。 ## 1. 事件详情与网络参数 * **分析工具：** Wireshark 第7层协议分析器 * **受影响主机IP：** `10.6.13.133` * **目标环境：** 企业活动目录子网 * **威胁分类：** 命令与控制（C2）信标 / 数据渗漏  ## 2. 调查方法与威胁猎捕策略 为了过滤掉标准企业网络运营产生的巨大背景噪音，我使用了一个高级逻辑显示过滤器，以明确地隔离出站数据传输，同时排除简单的服务发现协议： ``` !ssdp && http.request.method == POST ```

标签：AMSI绕过, C2信标检测, DAST, HTTP协议, IP 地址批量处理, Wireshark, 企业安全, 句柄查看, 威胁检测, 恶意软件分析, 打字错误欺骗, 数据外泄, 显示过滤器, 深度包检测, 第7层分析, 网络安全, 网络安全分析, 网络流量分析, 网络资产管理, 隐私保护