Basil-Saad/wireshark-tls-malware-analysis
GitHub: Basil-Saad/wireshark-tls-malware-analysis
基于 Wireshark 的网络安全实战教学项目,系统覆盖 TLS 握手分析、数字证书检查、恶意软件流量调查与 VirusTotal 威胁指标验证等数字取证工作流。
Stars: 0 | Forks: 0
# TLS、Wireshark 与恶意软件流量分析
图 1. 使用 Wireshark 捕获未加密的 HTTP 流量。
### 观察结果 - HTTP 数据包在传输过程中没有加密。 - 任何拦截流量的人都可以看到应用层信息。 - 如果在不受信任的网络上使用 HTTP,敏感信息可能会被暴露。 - 该捕获过程说明了为什么 HTTP 不适用于安全通信。 ## 🔒 HTTPS 与 TLS 分析 为了演示安全通信,我们在访问 **Google** 时捕获了 HTTPS 流量。与 HTTP 不同,HTTPS 使用**传输层安全性 (TLS)** 保护应用数据,防止敏感信息在传输过程中被暴露。 捕获的数据包显示应用数据已被加密,仅允许协议元数据保持可见,同时保护了实际的通信内容。
图 2. 使用 Wireshark 捕获加密的 HTTPS 流量。
### 观察结果 - HTTPS 使用 TLS 对应用层数据进行加密。 - 无法直接从捕获内容中读取数据包的有效负载。 - 只有协议元数据(如 IP 地址和 TLS 记录)保持可见。 - 加密保护了传输数据的机密性和完整性。 ## 🤝 TLS 握手分析 TLS 握手是在交换加密数据之前,在客户端和服务器之间建立安全通信通道的过程。使用 **Wireshark** 检查了握手消息,以识别协议版本、连接序列和协商的加密参数。 分析确认了在 TLS 握手开始之前已建立 TCP 连接。在握手期间,客户端和服务器协商 TLS 版本,选择密码套件,并为安全通信准备会话。
图 3. 使用 Wireshark 捕获并分析的 TLS Server Hello 数据包。
### 关键发现 - 在 TLS 握手之前已建立 TCP 连接。 - 在会话期间协商了 TLS **版本 1.2**。 - 服务器选择了 **TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256** 密码套件。 - 握手成功建立了安全的加密通信通道。 ## 📜 TLS 证书分析 在 TLS 握手之后,服务器会出示其**数字证书**以验证其身份并建立信任。该证书包含重要的安全信息,包括签发证书颁发机构 (CA)、服务器的公钥、数字签名算法以及证书的有效期详情。 在 **Wireshark** 中检查证书可以让我们深入了解现代 HTTPS 连接在开始加密通信之前是如何对服务器进行身份验证的。
图 4. 使用 Wireshark 检查服务器的数字证书。
### 关键发现 - 在 TLS 握手期间成功传输了服务器证书。 - 该证书由受信任的**证书颁发机构 (CA)** 签发。 - 该证书使用 **SHA256withRSAEncryption** 数字签名算法。 - 握手完成后,使用 **AES_128_GCM** 对称加密算法保护安全应用数据。 ## 🦠 恶意软件流量分析 使用 **Wireshark** 分析了包含恶意软件相关网络流量的捕获 **PCAP** 文件,且未执行任何恶意软件。调查的重点是识别可疑通信、检查 HTTP 请求,以及从捕获的数据包中提取危害指标 (IOC)。 分析揭示了受感染主机与可疑外部 IP 地址之间的通信,演示了如何在保持安全分析环境的同时,使用数据包检查来调查恶意网络活动。
图 5. 调查 PCAP 文件中捕获的恶意软件相关 HTTP 流量。
### 关键发现 - 成功识别了与恶意软件相关的 HTTP 流量。 - 在未执行恶意软件样本的情况下检查了网络数据包。 - 观察到了与外部 IP 地址 **45.131.214.85** 的可疑通信。 - 数据包分析使得能够提取有价值的危害指标 (IOC),以供进一步调查。 ## 📡 DHCP 数据包分析 除了安全通信分析之外,该项目还检查了在 Wireshark 中捕获的**动态主机配置协议 (DHCP)** 交换。DHCP 负责在设备加入网络时自动为其分配 IP 地址和网络配置参数。 数据包捕获展示了在使用 HTTP 和 HTTPS 等更高层协议建立网络连接之前,用于建立网络连接的标准 DHCP 通信序列。
图 6. 使用 Wireshark 捕获并分析的 DHCP 数据包交换。
### 关键发现 - 观察到了完整的 **DHCP Discover → Offer → Request → ACK (DORA)** 过程。 - 验证了网络配置参数的自动分配。 - 识别了客户端与 DHCP 服务器之间的交互。 - 演示了 Wireshark 检查底层网络协议的能力。 ## 🛡️ VirusTotal 验证 为了补充网络流量调查,使用 **VirusTotal** 验证了提取的文件哈希值,这是一个广泛使用的威胁情报平台,可汇总来自多个防病毒引擎的结果。 此验证步骤有助于确定所分析的样本之前是否已被识别为恶意,并为安全调查提供额外的上下文信息,而无需执行该文件。
图 7. 对分析的文件哈希进行 VirusTotal 验证。
### 关键发现 - 使用 VirusTotal 成功分析了提取的 **SHA-256** 哈希。 - 基于哈希的验证在恶意软件调查期间提供了额外的证据。 - VirusTotal 通过多引擎分析支持快速识别已知的恶意工件。 - 将 **Wireshark** 与 **VirusTotal** 结合使用,增强了整体的事件调查工作流。 ## 🛠️ 所用工具 | 工具 | 用途 | |------|---------| | **Wireshark** | 网络数据包捕获和协议分析。 | | **TLS/SSL** | 安全通信分析和握手检查。 | | **HTTP / HTTPS** | 未加密与加密 Web 流量之间的比较。 | | **PCAP 文件** | 对捕获的网络流量进行离线分析。 | | **VirusTotal** | 文件哈希验证和威胁情报分析。 | | **SHA-256** | 文件哈希生成和完整性验证。 | ## 📂 项目结构 ``` wireshark-tls-malware-analysis/ │ ├── images/ │ ├── dhcp-packet-analysis.jpg │ ├── http-malware-traffic-analysis.jpg │ ├── http-neverssl-capture.jpg │ ├── https-google-traffic.jpg │ ├── tls-server-certificate.jpg │ ├── tls-server-hello.jpg │ └── virustotal-file-analysis.jpg │ └── README.md ``` 该仓库经过了精心组织,提供了网络流量分析过程简洁直观的演示。所有截图都直接在文档中引用,以说明 HTTP、HTTPS、TLS、DHCP、恶意软件流量和 VirusTotal 分析的关键阶段。 ## 🎓 关键学习成果 该项目在网络安全和流量分析的几个关键领域提供了实践经验,包括: - 使用 **Wireshark** 进行网络数据包捕获和协议检查。 - 分析 **HTTP** 和 **HTTPS** 通信。 - 理解 **TLS 握手**过程和安全会话建立。 - 检查**数字证书**、密码套件和加密算法。 - 使用 **PCAP** 文件调查恶意软件相关的网络流量。 - 提取和验证**危害指标 (IOC)**。 - 使用 **VirusTotal** 进行哈希验证和威胁情报分析。 - 网络分析和数字取证中网络安全概念的的实际应用。 ## 📚 参考资料 1. **Wireshark Foundation.** *Wireshark User Guide*. https://www.wireshark.org/docs/ 2. **RFC 8446.** *The Transport Layer Security (TLS) Protocol Version 1.3*. Internet Engineering Task Force (IETF). 3. **RFC 5246.** *The Transport Layer Security (TLS) Protocol Version 1.2*. Internet Engineering Task Force (IETF). 4. **VirusTotal.** *VirusTotal – Analyze suspicious files, domains, IPs and URLs.* https://www.virustotal.com/ 5. **Malware Traffic Analysis.** *Free PCAP files for malware traffic analysis.* https://www.malware-traffic-analysis.net/ # 📄 许可证 基于 MIT 许可证授权。有关详细信息,请参阅 [LICENSE](LICENSE) 文件。标签:DAST, IP 地址批量处理, TLS分析, Wireshark, 句柄查看, 威胁情报, 开发者工具, 恶意软件分析, 数字取证, 网络流量分析, 自动化脚本