Wireshark Network Traffic Analysis

# Wireshark 网络流量分析 ## 目的 使用 Wireshark 执行全面的网络流量分析，以捕获、过滤和检查网络数据包，用于安全调查、性能优化和故障排除。此技能支持对网络协议进行系统分析、检测异常以及从 PCAP 文件中重构网络会话。 ## 输入 / 前提条件 ### 所需工具 - 已安装 Wireshark (Windows, macOS 或 Linux) - 具有捕获权限的网络接口 - 用于离线分析的 PCAP/PCAPNG 文件 - 用于实时捕获的管理员/root 权限 ### 技术要求 - 理解网络协议 (TCP, UDP, HTTP, DNS) - 熟悉 IP 地址和端口 - 了解 OSI 模型层 - 理解常见攻击模式 ### 使用场景 - 网络故障排除和连接问题 - 安全事件调查 - 恶意软件流量分析 - 性能监控和优化 - 协议学习和教育 ## 输出 / 交付物 ### 主要输出 - 针对特定流量的过滤数据包捕获 - 重构的通信流 - 流量统计和可视化 - 事件证据文档 ## 核心工作流 ### 第一阶段：捕获网络流量 #### 开始实时捕获 在网络接口上开始捕获数据包： 1. 启动 Wireshark 2. 从主屏幕选择网络接口 3. 点击鲨鱼鳍图标或双击接口 4. 立即开始捕获 #### 捕获控制 | 操作 | 快捷键 | 描述 | |--------|----------|-------------| | 开始/停止捕获 | Ctrl+E | 切换捕获开关 | | 重启捕获 | Ctrl+R | 停止并开始新捕获 | | 打开 PCAP 文件 | Ctrl+O | 加载现有捕获文件 | | 保存捕获 | Ctrl+S | 保存当前捕获 | #### 捕获过滤器 在捕获前应用过滤器以限制数据收集： # 仅捕获特定主机 host 192.168.1.100 # 捕获特定端口 port 80 # 捕获特定网络 net 192.168.1.0/24 # 排除特定流量 not arp # 组合过滤器 host 192.168.1.100 and port 443 ### 第二阶段：显示过滤器 #### 基本过滤器语法 过滤已捕获的数据包以进行分析： # IP 地址过滤器 ip.addr == 192.168.1.1 # 所有往返该 IP 的流量 ip.src == 192.168.1.1 # 仅源 IP ip.dst == 192.168.1.1 # 仅目标 IP # 端口过滤器 tcp.port == 80 # TCP 端口 80 udp.port