mtalha27709-coder/network-traffic-analysis-wireshark

GitHub: mtalha27709-coder/network-traffic-analysis-wireshark

基于 Wireshark 的网络流量分析实战项目,演示从数据包捕获、DNS 与 TCP 通信调查到威胁情报验证的完整 SOC 调查流程。

Stars: 1 | Forks: 0

# 使用 Wireshark 进行网络流量分析 ## 概述 本项目展示了使用 Wireshark 进行实际网络流量调查的过程。目的是分析捕获的网络流量,识别通信模式,调查可疑活动,并使用外部威胁情报验证调查结果。 本次调查重点关注 DNS 分析、TCP 通信审查、端点识别、数据包流检查以及威胁验证技术,这些通常是 SOC Analyst、Threat Hunter 和 Blue Team 专业人员执行的操作。 ## 目标 * 分析捕获的网络流量 * 识别 DNS 查询和域通信 * 检查 TCP 对话和数据包流 * 调查可疑的网络活动 * 使用威胁情报验证域名和威胁指标 * 记录发现和安全观察结果 * 培养实用的数据包分析技能 ## 使用的工具 | 工具 | 用途 | | ------------------- | ----------------------------------------- | | Wireshark | 数据包捕获和流量分析 | | VirusTotal | 威胁情报和信誉检查 | | TCP Stream Analysis | 会话检查 | | Endpoint Statistics | 主机通信分析 | ## 调查方法论 ### 阶段 1:流量检查 数据包捕获文件被导入 Wireshark 进行详细分析。初步观察主要集中在识别活动协议、通信频率和网络行为模式。 执行的活动: * 数据包捕获审查 * 协议识别 * 流量分类 * 主机通信映射 ### 阶段 2:DNS 分析 检查 DNS 流量以了解网络内发生的域名解析活动。 分析包括: * DNS 查询检查 * 域名查找识别 * 可疑域名检测 * 使用 VirusTotal 进行信誉验证 关键观察: * 捕获期间产生了多个 DNS 请求 * 几个域名需要进一步验证 * 域名信誉检查有助于确定风险等级 ### 阶段 3:TCP 通信分析 审查 TCP 流量以了解内部和外部主机之间的通信。 活动包括: * 验证 TCP 握手 * 连接建立审查 * 会话跟踪 * 通信模式分析 TCP 调查重点: * SYN 数据包 * SYN-ACK 响应 * ACK 确认 * 会话建立行为 ### 阶段 4:端点分析 端点统计用于识别参与网络通信的系统。 调查包括: * 内部主机识别 * 外部 IP 分析 * 通信频率审查 * 识别异常连接 优势: * 可视化网络通信模式 * 检测潜在的可疑外部通信 * 识别高活动系统 ### 阶段 5:Top Talkers 分析 审查流量统计以确定哪些主机产生了最大的流量。 分析目标: * 识别通信最频繁的主机 * 检测异常流量 * 调查异常网络行为 调查结果为网络使用模式和活动系统提供了有价值的见解。 ### 阶段 6:TCP Stream 分析 利用 Wireshark 的 Follow TCP Stream 功能重建通信会话。 活动: * 流重建 * payload 检查 * 会话行为分析 * 通信验证 此过程允许更深入地了解数据包级别的交互和通信内容。 ## 可疑活动调查 在调查期间审查了以下指标: ### 可疑的 DNS 活动 * 识别出不寻常的域名查找 * 使用威胁情报验证域名 ### 外部通信 * 观察到多个外部连接 * 审查通信模式以发现异常 ### 端点行为 * 分析主机活动 * 评估通信频率 ### 流量分析 * 调查高流量端点 * 审查潜在的异常行为 ## 关键发现 * DNS 分析揭示了几个需要外部验证的域名 * TCP 通信显示了多个主机之间的活跃交互 * 端点分析提供了对通信模式的可见性 * 流分析能够详细检查网络会话 * 威胁情报有助于验证可疑指标 ## 安全建议 * 持续监控 DNS 流量以发现可疑查询 * 实施威胁情报集成以进行域名验证 * 审查异常的出站通信 * 建立网络基线以进行异常检测 * 监控高流量端点的异常行为 * 将数据包分析作为事件响应流程的一部分 * 部署 SIEM 监控以实现持续可见性 ## 展示的技能 * 网络流量分析 * Wireshark 数据包检查 * DNS 调查 * TCP 分析 * 端点识别 * 威胁情报验证 * 安全监控 * Blue Team 运营 * 事件调查 * SOC Analyst 方法论 ## 结论 本项目演示了使用 Wireshark 进行网络流量分析技术的实际应用。通过 DNS 调查、TCP 通信分析、端点剖析和威胁情报验证,获得了有关网络行为和潜在安全风险的宝贵见解。 该练习通过提供数据包分析、威胁调查和网络监控方面的实践经验,强化了 SOC Analyst 和 Blue Team 的基本技能。 ## 作者 Muhammad Talha 网络安全学生 | SOC Analyst 爱好者 | Threat Hunting | DFIR | Cloud Security
标签:DNS分析, IP 地址批量处理, TCP分析, Wireshark, 句柄查看, 威胁情报, 安全运营中心(SOC), 开发者工具, 网络流量分析