melusisello/wireshark-network-traffic-analysis-lab
GitHub: melusisello/wireshark-network-traffic-analysis-lab
这是一个使用 Wireshark 和 tshark 进行网络流量捕获、协议分析与基础威胁狩猎的实践实验项目,旨在帮助学习者建立正常网络通信基线并识别潜在可疑活动。
Stars: 0 | Forks: 0
# Wireshark 网络流量分析实验
## 概述
本项目演示了如何使用 **Wireshark** 和 **tshark** 来捕获、检查和分析正常工作站活动期间产生的网络流量。目标是建立正常网络通信的基线,识别常见协议,并调查是否存在可疑或恶意活动。
分析的重点包括协议分布、加密流量、DNS 解析、HTTP 请求、ICMP 活动、ARP 通信、TCP 行为以及外部网络连接。
## 目标
- 使用 Wireshark 捕获实时网络流量
- 分析常见的网络协议
- 识别外部通信
- 检查加密和非加密流量
- 执行基础的威胁狩猎和异常检测
- 撰写专业的网络分析报告
## 环境
| 组件 | 详情 |
|-----------|---------|
| 操作系统 | Windows 11 |
| 数据包分析器 | Wireshark 4.2.2 |
| CLI 工具 | tshark |
| 捕获格式 | PCAPNG |
| 捕获持续时间 | ~137 秒 |
| 捕获数据包数 | 14,415 |
| 捕获文件大小 | 12.3 MB |
## 使用的工具
- Wireshark
- tshark
- Windows 命令提示符
- ICMP (Ping)
- DNS
- TCP
- TLS
- HTTP
- QUIC
## 展示的技能
- 网络数据包捕获
- 协议分析
- TCP/IP 故障排除
- DNS 调查
- HTTP 与 HTTPS 分析
- QUIC 流量分析
- ICMP 诊断
- ARP 检查
- 威胁狩猎基础
- 网络基线建立
- 安全报告
- Wireshark 显示过滤器
- tshark 命令行分析
## 项目结构
```
wireshark-network-analysis-lab/
│
├── README.md
├── Findings.md
├── network_capture.pcapng
└── Screenshots/
├── capture-running.png
├── dns-filter.png
├── icmp-filter.png
├── tcp-filter.png
├── tls-filter.png
└── statistics.png
```
## 截图
### 实时数据包捕获

### DNS 分析

### TCP 分析

### TLS 流量

### ICMP 数据包

### 协议层级

## 关键发现
- 在捕获期间分析了超过 14,000 个数据包。
- 流量主要使用 TLS 和 QUIC 进行加密。
- 观察到与可信服务(包括 Microsoft、GitHub、OpenAI、Cloudflare、Amazon AWS 和 Akamai)的通信。
- Windows Update 生成了预期的 HTTP 请求,用于获取已签名的更新包。
- DNS 查询成功解析了知名域名,未发现可疑模式。
- ICMP 流量仅限于手动连接测试。
- 未发现任何入侵指标(IOC)、恶意软件通信、端口扫描、DNS 隧道或 ARP 欺骗。
详细的技术分析可在 **Findings.md** 中查看。
## 学习成果
本项目增强了以下方面的实践技能:
- 数据包捕获
- 网络故障排除
- 协议分析
- 流量基线建立
- 安全监控
- 事件响应基础
- 威胁狩猎方法论
## 结论
本实验展示了使用 Wireshark 分析真实网络流量并建立已知良好基线的实践经验。所使用的技术可直接应用于网络工程、SOC 分析师、事件响应和网络安全等岗位。
标签:Docker 部署, Wildcard支持, Wireshark, 协议分析, 句柄查看, 权限提升, 流量抓包, 系统分析, 网络分析, 网络运维, 防御绕过