emmy-ani/Network-Forensics-Traffic-Analysis-IR

# 网络取证分析与事件响应实验 ## 📌 项目概述 本仓库包含了作为网络安全培训和实验练习一部分完成的实战网络取证和事件响应调查。这些项目侧重于分析 Web 应用程序入侵、识别攻击者活动、重建攻击时间线，以及推荐用于防止未来事件的安全控制措施。 ## 🛠️ 技能、工具与技术 ### 展示的核心技能 * **网络流量分析** (Wireshark PCAP) * **事件响应与调查** * **日志分析与 IOC 识别** * **Web 应用程序攻击分析** * **攻击时间线重建** * **安全控制建议** ### 使用的工具与框架 * **分析工具：** Wireshark、Linux CLI、Apache Web Server 日志 * **协议：** HTTP/TCP 协议分析 * **框架：** Cyber Kill Chain 框架 ## 📂 案例研究 ### 案例 1：Web 应用程序入侵调查 * **目标：** 分析来自受感染 Web 应用程序环境的网络数据包，并识别威胁行为者使用的攻击路径。 * **主要发现：** * 识别出针对应用程序数据库的 SQL injection 活动。 * 观察到目录枚举和凭据滥用。 * 跟踪了恶意的 PHP web shell 部署。 * 重建了从初始访问到远程命令执行的攻击链。 * 记录了入侵指标 (IOC) 和修复建议。 * **📄 报告：** [查看完整 PDF 报告](./documentation/SOC_PCAP%20analysis%20Operation%20Silent%20Intrusion.pdf) ### 案例 2：文件上传漏洞利用事件响应 * **目标：** 调查由不安全的文件上传功能导致的 Web 服务器入侵。 * **主要发现：** * 识别出恶意文件上传活动。 * 跟踪了攻击者在 `www-data` 服务账户下的操作。 * 重建了导致未经授权的系统访问的事件序列。 * 记录了敏感文件访问和数据暴露的证据。 * 提供了缓解建议以加强上传安全控制。 * **📄 报告：** [查看完整 PDF 报告](./documentation/SOC%20Incident%20Report_Operation%20Shadow%20Drop.pdf) ## 📈 安全建议 1. **实施参数化查询：** 在数据库级别防止 SQL injection。 2. **保护文件上传：** 执行严格的文件验证和存储控制。 3. **限制脚本执行：** 全局禁用公共上传目录内的脚本执行权限。 4. **强制执行最小权限原则：** 严格限制绑定到 `www-data` 服务账户的权限。 5. **出站过滤：** 限制不必要的出站连接，以降低命令与控制 (C2) 反向 shell 的风险。

标签：CISA项目, Wireshark, 句柄查看, 库, 应急响应, 数字取证, 网络安全, 网络流量分析, 自动化脚本, 隐私保护, 靶场实验