hunterwolvz/Network-Attack-Analysis---PCAP-Investigation

# 网络攻击分析与 PCAP 调查 这是一个专注于网络攻击分析、数据包调查、事件响应和防御性安全控制的网络安全案例研究。 ## 概述 本项目结合了理论研究和实用的网络取证技术，通过数据包捕获 (PCAP) 分析来调查真实的攻击场景。 工作内容包括： - 中间人攻击 (MITM) - Wireshark 数据包分析 - Apache Tomcat 沦陷调查 - 攻陷指标 (IOCs) - MITRE ATT&CK 映射 - IDS/IPS 检测方法 - Snort 规则创建 - 事件响应与报告 目的不仅在于识别攻击期间发生的事情，还在于了解其发生方式、利用了哪些弱点、如何才能更早地检测到该攻陷事件，以及将来如何防止类似事件的发生。 ## 项目分解 ### 第 1 部分 – 中间人攻击分析 对 MITM 攻击的技术检查，包括： - ARP 欺骗 - 流量拦截 - 会话劫持 - SSL/TLS 降级攻击 - 数据篡改 - 凭据窃取 该分析解释了攻击前提条件、被利用的漏洞、涉及的协议、OSI 层以及潜在的业务影响。 ### 第 2 部分 – PCAP 调查（Tomcat 接管） 使用 Wireshark，我重建了针对 Apache Tomcat 服务器的完整攻击链。 主要发现包括： - 外部侦察 - 端口扫描活动 - 使用 Gobuster 进行目录枚举 - 发现暴露的 Tomcat 服务 - 上传恶意 `.war` 文件 - 反向 shell 部署 - 命令与控制 (C2) 通信 - 潜在的横向移动 使用的工具和技术： - Wireshark - TCP 流分析 - 协议层级 - 会话统计 - 自定义显示过滤器 - IOC 识别 ### 第 3 部分 – IDS/IPS 检测策略 本节探讨了防御性监控系统如何检测和应对攻击。 涵盖的主题： - 网络 IDS (NIDS) 与主机 IDS (HIDS) - ARP 欺骗检测 - SSL 剥离指标 - 流量异常检测 - 自定义 Snort 规则 - 附加安全控制 ### 第 4 部分 – 安全基础 涵盖以下内容的简短讨论： - 为什么 WEP 被认为是不安全的 - WPA2 和 WPA3 的改进 - GDPR 违规报告要求 - NIST 安全控制 ### 第 5 部分 – 事件报告 一份以管理为重点的事件报告，总结了： - 发生了什么 - 事件时间线 - 受影响的系统 - 严重性评估 - 建议采取的行动 - 经验教训 ## 展现的技能 - 网络安全 - 数据包分析 - Wireshark - 数字取证 - 威胁狩猎 - 事件响应 - MITRE ATT&CK - IDS/IPS 概念 - Snort 规则开发 - 风险评估 - 技术报告 ## 攻击时间线摘要 1. 外部攻击者执行侦察。 2. 在 8080 端口上发现开放的 Tomcat 服务。 3. 自动化的目录枚举识别出暴露的资源。 4. 访问管理界面。 5. 上传恶意 `.war` 文件。 6. 建立反向 shell。 7. 实现持久化访问。 8. 观察到出站的命令与控制通信。 9. 网络内部可能的横向移动。 ## 关键要点 本项目演示了如何使用数据包捕获来重建从初始侦察到完全沦陷的攻击过程。 调查强调了以下内容的重要性： - 网络可见性 - 早期威胁检测 - 安全的服务配置 - 持续监控 - 事件响应准备

标签：CISA项目, Cloudflare, MITRE ATT&CK, Wireshark, 句柄查看, 库, 应急响应, 数字取证, 网络安全, 网络流量分析, 自动化脚本, 隐私保护