VSvalinX/Network-Threat-Hunting

# 🌐 网络威胁狩猎与取证 这些项目的主要目标是展示我分析原始网络流量、识别高级规避技术以及制定对应**MITRE ATT&CK**框架的可操作防御措施的能力。 ## 🛠️ 核心技能与技术 * **数据包分析：** Wireshark, tcpdump, TShark * **攻击模拟：** Linux 原生二进制文件（*Living off the Land*），自定义脚本 * **检测工程：** Snort / Suricata NIDS 规则开发 * **框架与方法论：** MITRE ATT&CK, Cyber Kill Chain, 深度数据包检测 (DPI) ## 📂 项目索引 ### 🕵️‍♂️ [案例 01：检测 ICMP 隐蔽通道（ICMP 隧道）](./01_ICMP_Covert_Channel_Analysis/README.md) * **描述：** 模拟并分析利用 ICMP 协议绕过 L3/L4 边界防火墙进行数据泄露的攻击。展示了基线建立、载荷检查以及自定义 IDS 规则创建的过程。 * **MITRE ATT&CK:** `T1048.003` (通过未加密的非 C2 协议泄露数据)。 ### 📡 [案例 02：DNS 隧道数据泄露分析](./02_DNS_Tunneling_Exfiltration_Analysis/README.md) * **描述：** 调查用于将编码数据泄露到模拟的命令与控制 (C2) 服务器的恶意 DNS 查询，该查询利用了标准的 53 端口 UDP 协议。 * **MITRE ATT&CK:** `T1071.004` (应用层协议：DNS)。 ## ⚠️ OPSEC 免责声明 *本仓库中的所有流量捕获文件（`.pcapng` 文件）和攻击模拟均严格在隔离的、仅主机/NAT 的虚拟化环境中生成。在这些演练过程中，未使用任何真实的恶意基础设施、活动恶意软件或实际机密数据。*

标签：C2通信检测, Cloudflare, DNS隧道, ICMP隧道, Living off the Land, Metaprompt, MITRE ATT&CK, pcapng文件分析, Snort规则开发, Suricata规则开发, TShark, Wireshark, 入侵检测系统, 句柄查看, 威胁检测工程, 安全数据湖, 恶意流量分析, 攻击模拟, 攻击面映射, 数据窃取, 流量捕获, 深度包检查, 网络威胁狩猎, 网络安全, 网络安全工程, 网络拓扑, 虚拟化安全, 逆向工具, 防火墙绕过, 隐私保护, 隐蔽通道, 驱动签名利用