GadeKuldeep/Network-Traffic-Analysis-Lab

GitHub: GadeKuldeep/Network-Traffic-Analysis-Lab

一个结构化的 Wireshark 网络流量分析实验项目,涵盖协议解析、异常检测和应急响应的完整 SOC 学习路径。

Stars: 0 | Forks: 0

# Network-Traffic-Analysis-Lab 文件夹说明 ## 01-基础/ 基础模块。涵盖 Wireshark UI、数据包结构基础以及捕获技术。 ### 01_Wireshark_UI/ - `setup_guide.md` - 安装和配置 Wireshark、首选项、深色主题设置 - `capture_filters.txt` - 预置的捕获过滤器(无 TCP、特定端口、主机隔离) ### 02_数据包基础/ - `pcap_files/` - 用于帧结构研究的示例捕获文件 - `frame_structure.md` - Ethernet → IP → TCP/UDP 层级解析 - `lab_exercises.md` - 实践操作:识别层级、读取十六进制转储、解码头部 ### 03_流量捕获/ - `live_capture_setup/` - 接口选择、权限提升、混杂模式 - `pcap_collection/` - 保存、合并、拆分捕获文件;命名规范 - `documentation.md` - 实验室捕获工作流的最佳实践 ## 02-协议分析/ 结合真实 pcap 文件和分析工作流,深入探讨常见协议。 ### HTTP_HTTPS/ - `pcap_samples/` - 明文 HTTP 流量、HTTPS 握手、证书链 - `analysis_guide.md` - 跟踪 HTTP 流、提取 payload、识别 POST/GET - `ssl_tls_notes.md` - TLS 1.2/1.3 握手、密码套件、证书验证 ### DNS_TCP_UDP/ - `pcap_samples/` - DNS 查询、递归查找、区域传送 - `queries_analysis.md` - 解析 DNS 名称、检测 DNS 数据外发、DNSSEC - `port_reference.txt` - 常见端口、知名服务快速查阅 ### 应用层协议/ - `FTP_SMTP_POP3/` - 文件传输、电子邮件协议、凭证提取 - `SSH_RDP_Telnet/` - 远程访问、加密、隧道检测 - `summary.md` - 协议对比表、安全影响 ## 03-安全/ SOC 分析师工作流:异常检测、恶意软件指标、事件响应。 ### 异常检测/ - `pcap_suspicious/` - 异常流量模式(信标通信、数据外发、端口扫描) - `analysis.md` - 识别异常、MITRE ATT&CK 映射、生成告警 ### 恶意软件流量/ - `samples/` - 命令与控制(C2)、恶意软件回调、感染特征 - `indicators.md` - IOC(IP、域名、哈希值)、检测规则、黑名单 ### 应急响应场景/ - `scenario_1/` - 完整的事件 pcap + 逐步分析报告 - `scenario_2/` - 真实案例(勒索软件、数据窃取、横向移动) ## 根目录文件 | 文件 | 用途 | |------|---------| | **README.md** | 项目使命、学习路径、SOC 角色映射 | | **SETUP.md** | 环境(OS、Wireshark 版本、工具)、快速入门 | | **FILTER_CHEATSHEET.md** | 显示过滤器、捕获过滤器、常见搜索(ATS 关键词密集) | | **PROTOCOL_REFERENCE.md** | TCP/IP 协议族快速参考、端口号、数据包结构 | | **RESOURCES.md** | Wireshark 文档、SANS 数据包、TryHackMe 实验室、CTF 网站的链接 | | **.gitignore** | 排除 *.pcap(体积大)、*.cap 文件;保留文档和脚本 | | **LICENSE** | MIT 或 Apache 2.0 | ## 实验流程(建议顺序) 1. **开始**:`01-Basics/01_Wireshark_UI` → 设置 + UI 导览 2. **学习**:`01-Basics/02_Packet_Fundamentals` → OSI 层级、帧解剖 3. **练习**:`01-Basics/03_Traffic_Capture` → 捕获你的第一个流量 4. **分析**:`02-Protocol-Analysis/*` → 每次会话深入研究一个协议 5. **追踪**:`03-Security/Anomaly-Detection` → 发现恶意行为 6. **响应**:`03-Security/Incident-Scenarios` → 完整的事件分析报告 ## GitHub README 展示(用于求职) **关键词**:Wireshark、数据包分析、TCP/IP、协议取证、C2 检测、SOC 运营、威胁追踪、网络取证。
标签:DAST, IP 地址批量处理, SOC分析, Wireshark, 内存分配, 协议分析, 句柄查看, 并发处理, 底层编程, 恶意软件分析, 插件系统, 权限提升, 网络安全, 网络流量分析, 隐私保护