Mflo1180/-Wireshark-Packet-Analysis-and-Threat-Hunting-Lab

# Wireshark数据包分析与威胁狩猎实验室 一个专注于数据包分析、TCP/IP通信、协议解析、HTTP与HTTPS检查、流量可视化及网络流量调查技术的实操Wireshark实验室。 ## 项目概述 本项目旨在受控的实验环境中使用Wireshark分析真实网络流量。目标是积累数据包分析、协议检查、网络故障排除以及安全运营中心(SOC)中常用基础威胁狩猎概念的实践经验。 实验内容包括捕获和分析多种网络协议、研究数据包行为、比较加密与未加密流量，以及使用Wireshark统计和过滤技术可视化网络活动模式。 ## 目标 - 捕获并分析实时网络流量 - 理解TCP/IP通信基础 - 分析ICMP和DNS流量 - 观察TCP握手和数据包流 - 比较HTTP和HTTPS流量行为 - 使用"追踪TCP流"检查会话 - 使用IO图表可视化协议活动 - 练习Wireshark过滤和流量调查技术 - 为SOC分析师工作流培养基础数据包分析技能 ## 实验环境 | 组件 | 详情 | |---|---| | 主机系统 | Windows 11 | | 虚拟化 | VirtualBox | | 虚拟机 | Ubuntu Linux | | 网络模式 | 桥接适配器 | | 分析工具 | Wireshark | | 附加工具 | 命令提示符、OpenSSH | ## 使用的工具 - Wireshark - VirtualBox - Ubuntu Linux - Windows 命令提示符 - OpenSSH 客户端 # ICMP数据包分析 通过向目标发送ping请求生成ICMPv6流量，以在数据包层面观察请求与应答行为。数据包分析包括检查序列号、跳数限制和ICMP消息类型。 ### 观察到的关键概念 - Echo request 和 Echo reply 通信 - ICMPv6 数据包结构 - 序列号跟踪 - 基础网络可达性测试  # TCP握手分析 分析了TCP流量，以观察建立可靠网络通信所使用的标准三次握手过程。 ### 观察到的关键概念 - SYN数据包发起 - SYN/ACK服务器响应 - ACK会话建立 - TCP连接可靠性  # HTTP流量分析 分析了未加密的HTTP流量，以观察系统间的明文Web通信。 ### 观察到的关键概念 - HTTP GET请求 - 目标端口80通信 - 数据包流可见性 - 明文协议暴露  # HTTP流重组 ### 观察到的关键概念 - 重组的客户端/服务器通信 - HTTP头和响应 - 对未加密流量的可见性 - 会话重组技术 # HTTPS / TLS加密流量分析 将加密的HTTPS/TLS流量与明文HTTP流量进行对比，观察两者在可见性和数据包检查能力方面的差异。 ### 观察到的关键概念 - TLS加密通信 - 无法直接读取加密的有效负载 - HTTP与HTTPS可见性的差异 - 加密对数据保密性的重要性  # 协议层级分析 使用Wireshark协议层级统计来识别主要协议并分析整体流量构成。 ### 观察到的关键概念 - TCP流量占主导地位 - TLS加密流量的普遍性 - DNS请求活动 - IPv4和IPv6协议分布  # 网络流量可视化 使用Wireshark IO图表来可视化随时间变化的网络活动，并比较特定协议的流量模式。 ### 观察到的关键概念 - 浏览活动期间的流量尖峰 - Web通信前的DNS活动 - TLS流量可视化 - 行为流量分析技术  # 展示的技能 - 数据包分析 - 网络协议分析 - TCP/IP基础 - Wireshark过滤 - 流量调查 - HTTP与HTTPS分析 - 协议层级解读 - 网络流量可视化 - 故障排除方法 - 以安全为中心的分析思维 # 结论 本实验室提供了使用Wireshark分析实时网络流量和研究协议行为的实践经验。该项目在加强基础网络知识的同时，也培养了与初级SOC分析师和网络安全岗位相关的实用数据包分析与流量调查技能。

标签：DNS, DNS枚举, HTTPS, ICMP, Linux系统, SOC技能, TCP/IP, Wireshark, 内核驱动, 协议分析, 句柄查看, 安全运营中心, 实验室环境, 权限提升, 流量可视化, 系统分析, 网络分析, 网络协议, 网络安全, 网络安全工具, 网络故障排除, 网络映射, 网络调查, 虚拟化, 隐私保护