melusisello/wireshark-network-traffic-analysis-lab

GitHub: melusisello/wireshark-network-traffic-analysis-lab

这是一个使用 Wireshark 和 tshark 进行网络流量捕获、协议分析与基础威胁狩猎的实践实验项目,旨在帮助学习者建立正常网络通信基线并识别潜在可疑活动。

Stars: 0 | Forks: 0

# Wireshark 网络流量分析实验 ## 概述 本项目演示了如何使用 **Wireshark** 和 **tshark** 来捕获、检查和分析正常工作站活动期间产生的网络流量。目标是建立正常网络通信的基线,识别常见协议,并调查是否存在可疑或恶意活动。 分析的重点包括协议分布、加密流量、DNS 解析、HTTP 请求、ICMP 活动、ARP 通信、TCP 行为以及外部网络连接。 ## 目标 - 使用 Wireshark 捕获实时网络流量 - 分析常见的网络协议 - 识别外部通信 - 检查加密和非加密流量 - 执行基础的威胁狩猎和异常检测 - 撰写专业的网络分析报告 ## 环境 | 组件 | 详情 | |-----------|---------| | 操作系统 | Windows 11 | | 数据包分析器 | Wireshark 4.2.2 | | CLI 工具 | tshark | | 捕获格式 | PCAPNG | | 捕获持续时间 | ~137 秒 | | 捕获数据包数 | 14,415 | | 捕获文件大小 | 12.3 MB | ## 使用的工具 - Wireshark - tshark - Windows 命令提示符 - ICMP (Ping) - DNS - TCP - TLS - HTTP - QUIC ## 展示的技能 - 网络数据包捕获 - 协议分析 - TCP/IP 故障排除 - DNS 调查 - HTTP 与 HTTPS 分析 - QUIC 流量分析 - ICMP 诊断 - ARP 检查 - 威胁狩猎基础 - 网络基线建立 - 安全报告 - Wireshark 显示过滤器 - tshark 命令行分析 ## 项目结构 ``` wireshark-network-analysis-lab/ │ ├── README.md ├── Findings.md ├── network_capture.pcapng └── Screenshots/ ├── capture-running.png ├── dns-filter.png ├── icmp-filter.png ├── tcp-filter.png ├── tls-filter.png └── statistics.png ``` ## 截图 ### 实时数据包捕获 ![Capture](https://static.pigsec.cn/wp-content/uploads/repos/cas/fb/fbe0b575f617a9a57757fd562e00a1fface0ca951cab04ceb9f4c9b82cedc9b7.png) ### DNS 分析 ![DNS](https://static.pigsec.cn/wp-content/uploads/repos/cas/84/84f4ca95b319ebe4b2092d294ba18f278679fede900621c5ea00288ab2b5d8bd.png) ### TCP 分析 ![TCP](https://static.pigsec.cn/wp-content/uploads/repos/cas/f4/f4d65069d4047e2f96ce4299d6f73391869f5a63be819984a0961a78e37d26c7.png) ### TLS 流量 ![TLS](https://static.pigsec.cn/wp-content/uploads/repos/cas/a0/a0bcf0268846a917fd83b6326d7fc1c1a352e0b90827a4d7a9c7aca1bff06791.png) ### ICMP 数据包 ![ICMP](https://raw.githubusercontent.com/melusisello/wireshark-network-traffic-analysis-lab/main/Screenshots/icmp-filter.png) ### 协议层级 ![Statistics](https://static.pigsec.cn/wp-content/uploads/repos/cas/a3/a343b74635aa9dae923f69fa5e38c5f991c6558e44b35f129a97ede3425dffed.png) ## 关键发现 - 在捕获期间分析了超过 14,000 个数据包。 - 流量主要使用 TLS 和 QUIC 进行加密。 - 观察到与可信服务(包括 Microsoft、GitHub、OpenAI、Cloudflare、Amazon AWS 和 Akamai)的通信。 - Windows Update 生成了预期的 HTTP 请求,用于获取已签名的更新包。 - DNS 查询成功解析了知名域名,未发现可疑模式。 - ICMP 流量仅限于手动连接测试。 - 未发现任何入侵指标(IOC)、恶意软件通信、端口扫描、DNS 隧道或 ARP 欺骗。 详细的技术分析可在 **Findings.md** 中查看。 ## 学习成果 本项目增强了以下方面的实践技能: - 数据包捕获 - 网络故障排除 - 协议分析 - 流量基线建立 - 安全监控 - 事件响应基础 - 威胁狩猎方法论 ## 结论 本实验展示了使用 Wireshark 分析真实网络流量并建立已知良好基线的实践经验。所使用的技术可直接应用于网络工程、SOC 分析师、事件响应和网络安全等岗位。
标签:Docker 部署, Wildcard支持, Wireshark, 协议分析, 句柄查看, 权限提升, 流量抓包, 系统分析, 网络分析, 网络运维, 防御绕过