Jlangley3360/Network-Threat-Hunting-Port-Scan

# 威胁狩猎端口扫描实验 ## 概述 本实验演示了使用 Nmap 和 Wireshark 检测和分析网络侦察活动。目标是模拟一种常见的攻击者技术，捕获由此产生的网络流量，识别入侵指标 (IOC)，并从防御的角度记录发现。 ## 目标 * 安装并配置 Wireshark 以进行数据包捕获。 * 使用 Nmap 执行网络服务发现。 * 捕获并分析端口扫描期间生成的流量。 * 识别与侦察活动相关的 TCP SYN 数据包。 * 记录发现并将活动映射到 MITRE ATT&CK 框架。 ## 使用的工具 * Ubuntu Linux * Wireshark * Nmap ## 实验环境配置 | 设备 | 用途 | | --------- | ------------------------- | | Ubuntu VM | 目标与分析工作站 | | Nmap | 网络扫描与侦察 | | Wireshark | 数据包捕获与流量分析 | ## 第 1 步：识别目标 IP 地址 使用以下命令识别目标系统的 IP 地址： ``` hostname -I ``` ### 截图 插入截图：`Term1.png` ## 第 2 步：执行基础网络扫描 对目标主机执行了基础的 Nmap 扫描。 ``` nmap ``` 目的： * 发现开放端口 * 识别可访问的服务 * 模拟攻击者侦察 ### 截图 插入截图：`Term2.png` ## 第 3 步：执行 TCP SYN 扫描 执行了 TCP SYN 扫描以生成额外的侦察流量。 ``` sudo nmap -sS -T4 ``` ### 命令解析 * `sudo` – 以提升的权限运行 * `nmap` – Network Mapper * `-sS` – TCP SYN 扫描 * `-T4` – 激进的时间模板 目的： * 模拟常见的攻击者扫描技术 * 生成用于分析的网络流量 ### 截图 插入截图：`WS1.png` ## 第 4 步：使用 Wireshark 捕获流量 使用 Wireshark 捕获扫描期间生成的流量。 目的： * 观察网络通信 * 分析数据包行为 * 调查侦察活动 ### 截图 插入截图：`WS5.png` ## 第 5 步：过滤 TCP SYN 数据包 使用了以下显示过滤器： ``` tcp.flags.syn == 1 ``` 目的： * 隔离与连接尝试相关的数据包 * 识别扫描行为 ## 第 6 步：数据包分析 检查了各个数据包以识别： * 源 IP 地址 * 目标 IP 地址 * 目标端口 * TCP 标志 * 连接尝试 ## 入侵指标 (IOC) | IOC 类型 | 值 | | -------------- | ------------------------- | | 源 IP | 10.0.2.15 | | 目标 IP | 10.0.2.15 | | 协议 | TCP | | 活动 | 网络服务发现 | | 观察到的工具 | Nmap | ## 发现 Nmap 扫描生成了多个针对主机系统上各种端口的 TCP SYN 数据包。Wireshark 成功捕获了流量，并允许识别侦察活动。数据包分析确认，该流量与攻击侦察阶段常用的网络服务发现技术一致。 在测试期间未观察到未经授权的访问。活动是在受控的实验环境中出于教育目的而生成的。 ## MITRE ATT&CK 映射 ### T1046 - 网络服务发现 描述： 攻击者可能会尝试收集有关可用网络服务的信息，以识别潜在的目标和攻击路径。 观察到的活动： * 端口扫描 * 服务发现 * TCP SYN 数据包生成 ## 展示的技能 * 网络流量分析 * 数据包检查 * 威胁狩猎 * 事件记录 * Nmap 使用 * Wireshark 分析 * TCP/IP 基础 * 安全监控 * 侦察检测 * MITRE ATT&CK 映射 ## 结论 本实验演示了使用 Wireshark 和 Nmap 检测和分析网络侦察活动。通过数据包检查和流量分析，识别、记录了可疑行为，并将其映射到 MITRE ATT&CK 框架。此练习提供了关于威胁狩猎方法和网络安全监控技术的实践经验。

标签：CTI, Nmap, Wireshark, 云存储安全, 句柄查看, 安全实验, 密码管理, 插件系统, 网络扫描, 虚拟驱动器