Atticus的博客

本实验指导用户使用Wireshark进行网络流量分析。主要内容包括：1）熟悉Wireshark图形界面和工具栏功能；2）设置捕获过滤器仅监控特定主机的流量；3）通过访问pepsi.com和apache.org生成流量，观察HTTP/HTTPS协议差异；4）分析数据包回答会话建立、应用协议及明文信息等问题；5）提供DNS和TLS过滤示例及常用命令备忘单。实验旨在帮助用户掌握Wireshark基本操作，包括接口选择、过滤器设置和流量分析技巧，为进一步网络诊断打下基础。

Wireshark是一款功能强大的开源网络流量分析工具，支持多平台和多种接口类型的数据捕获。文章介绍了Wireshark的图形界面和命令行版本TShark的使用方法，包括基本命令选项、捕获数据包、应用过滤器等操作。同时推荐了Termshark这一终端版Wireshark工具，为无图形界面的环境提供类似Wireshark的分析体验。文章还提供了Windows和Linux系统下的安装指南，帮助用户快速上手这些网络分析工具。

本实验通过分析PCAP网络流量数据包，重点研究了DNS和HTTP/HTTPS流量。主要内容包括：1) 识别流量类型和端口（53/80/443）；2) 分析服务器与主机(172.16.146.2)的通信模式；3) 解析首次HTTP握手时间戳(2021-05-11 11:34:01)和apache.org的IP记录(95.216.26.30,207.244.88.140)；4) 过滤DNS流量发现DNS服务器(172.16.146.1)和域名请求；5) 分析HTTP请求方法(POST为主)和响应状态(200 O

Tcpdump 数据包过滤摘要 Tcpdump 提供了强大的数据包过滤功能，可通过指定条件精确捕获网络流量。常用过滤器包括：主机过滤（host）、源/目标过滤（src/dst）和端口过滤（port），这些过滤器可单独或组合使用。通过合理设置过滤条件，不仅能减少捕获数据量，提高分析效率，还能节省存储空间。示例展示了如何过滤特定IP（172.16.146.2）的通信流量，以及如何仅捕获来自TCP 80端口的数据包。这些过滤器通过检查协议头中的特定值进行匹配，是网络流量分析的实用工具。

本文介绍了基础实验室中tcpdump工具的使用方法，包含五个实操任务：1）验证tcpdump安装；2）启动网络捕获并列出可用接口；3）使用基本捕获过滤器调整输出格式；4）将捕获数据保存为PCAP文件；5）读取并分析PCAP文件内容。通过实验可掌握tcpdump的基础操作，包括接口选择、流量捕获、文件存储及数据分析等网络管理员必备技能。文中提供了详细命令示例，帮助用户逐步完成网络流量监控的基准测试工作。

网络流量分析是通过分解网络数据，检测异常流量（如未经授权的远程通信或恶意活动）来识别和预防网络安全事件的关键过程。分析依赖于主动或被动捕获方式，并需要结合基线数据、工具（如Wireshark、IDS/IPS）及人工检查。有效分析的关键包括环境熟悉度、捕获位置选择、持久监控，以及从常见协议（HTTP/S、RDP等）入手排查异常模式。通过描述性、诊断性、预测性和规范性分析流程，可快速定位问题并制定解决方案，同时优化防御策略。

网络流量分析(NTA)技术摘要 NTA通过监测网络流量建立行为基线，检测异常和安全威胁。其核心在于理解TCP/IP协议栈和OSI模型，掌握端口协议、数据封装等网络基础知识。分析工具如Wireshark采用BPF语法进行流量过滤，需结合网络环境选择镜像端口或分接设备捕获数据。工作流程包括流量捕获、协议解析、异常检测和威胁响应。关键点包括：区分正常与恶意流量（如异常SYN包）、理解PDU封装过程、掌握MAC/IP地址等寻址机制。该技术能有效识别端口扫描等攻击行为，是网络安全防御体系的重要组成部分。 （注：摘要严