GadeKuldeep/Network-Traffic-Analysis-Lab
GitHub: GadeKuldeep/Network-Traffic-Analysis-Lab
一个结构化的 Wireshark 网络流量分析实验项目,涵盖协议解析、异常检测和应急响应的完整 SOC 学习路径。
Stars: 0 | Forks: 0
# Network-Traffic-Analysis-Lab 文件夹说明
## 01-基础/
基础模块。涵盖 Wireshark UI、数据包结构基础以及捕获技术。
### 01_Wireshark_UI/
- `setup_guide.md` - 安装和配置 Wireshark、首选项、深色主题设置
- `capture_filters.txt` - 预置的捕获过滤器(无 TCP、特定端口、主机隔离)
### 02_数据包基础/
- `pcap_files/` - 用于帧结构研究的示例捕获文件
- `frame_structure.md` - Ethernet → IP → TCP/UDP 层级解析
- `lab_exercises.md` - 实践操作:识别层级、读取十六进制转储、解码头部
### 03_流量捕获/
- `live_capture_setup/` - 接口选择、权限提升、混杂模式
- `pcap_collection/` - 保存、合并、拆分捕获文件;命名规范
- `documentation.md` - 实验室捕获工作流的最佳实践
## 02-协议分析/
结合真实 pcap 文件和分析工作流,深入探讨常见协议。
### HTTP_HTTPS/
- `pcap_samples/` - 明文 HTTP 流量、HTTPS 握手、证书链
- `analysis_guide.md` - 跟踪 HTTP 流、提取 payload、识别 POST/GET
- `ssl_tls_notes.md` - TLS 1.2/1.3 握手、密码套件、证书验证
### DNS_TCP_UDP/
- `pcap_samples/` - DNS 查询、递归查找、区域传送
- `queries_analysis.md` - 解析 DNS 名称、检测 DNS 数据外发、DNSSEC
- `port_reference.txt` - 常见端口、知名服务快速查阅
### 应用层协议/
- `FTP_SMTP_POP3/` - 文件传输、电子邮件协议、凭证提取
- `SSH_RDP_Telnet/` - 远程访问、加密、隧道检测
- `summary.md` - 协议对比表、安全影响
## 03-安全/
SOC 分析师工作流:异常检测、恶意软件指标、事件响应。
### 异常检测/
- `pcap_suspicious/` - 异常流量模式(信标通信、数据外发、端口扫描)
- `analysis.md` - 识别异常、MITRE ATT&CK 映射、生成告警
### 恶意软件流量/
- `samples/` - 命令与控制(C2)、恶意软件回调、感染特征
- `indicators.md` - IOC(IP、域名、哈希值)、检测规则、黑名单
### 应急响应场景/
- `scenario_1/` - 完整的事件 pcap + 逐步分析报告
- `scenario_2/` - 真实案例(勒索软件、数据窃取、横向移动)
## 根目录文件
| 文件 | 用途 |
|------|---------|
| **README.md** | 项目使命、学习路径、SOC 角色映射 |
| **SETUP.md** | 环境(OS、Wireshark 版本、工具)、快速入门 |
| **FILTER_CHEATSHEET.md** | 显示过滤器、捕获过滤器、常见搜索(ATS 关键词密集) |
| **PROTOCOL_REFERENCE.md** | TCP/IP 协议族快速参考、端口号、数据包结构 |
| **RESOURCES.md** | Wireshark 文档、SANS 数据包、TryHackMe 实验室、CTF 网站的链接 |
| **.gitignore** | 排除 *.pcap(体积大)、*.cap 文件;保留文档和脚本 |
| **LICENSE** | MIT 或 Apache 2.0 |
## 实验流程(建议顺序)
1. **开始**:`01-Basics/01_Wireshark_UI` → 设置 + UI 导览
2. **学习**:`01-Basics/02_Packet_Fundamentals` → OSI 层级、帧解剖
3. **练习**:`01-Basics/03_Traffic_Capture` → 捕获你的第一个流量
4. **分析**:`02-Protocol-Analysis/*` → 每次会话深入研究一个协议
5. **追踪**:`03-Security/Anomaly-Detection` → 发现恶意行为
6. **响应**:`03-Security/Incident-Scenarios` → 完整的事件分析报告
## GitHub README 展示(用于求职)
**关键词**:Wireshark、数据包分析、TCP/IP、协议取证、C2 检测、SOC 运营、威胁追踪、网络取证。
标签:DAST, IP 地址批量处理, SOC分析, Wireshark, 内存分配, 协议分析, 句柄查看, 并发处理, 底层编程, 恶意软件分析, 插件系统, 权限提升, 网络安全, 网络流量分析, 隐私保护