通过建立流量基线并利用Wireshark的过滤、统计与协议分析功能,可识别异常通信行为;结合会话追踪、载荷提取和对象导出,能有效发现DoS攻击、端口扫描、DNS隧道及C2通信等潜在威胁。
利用Wireshark分析网络中的异常流量和潜在攻击,关键在于识别偏离正常通信模式的数据包行为。通过过滤、统计和协议分析,可以快速定位可疑活动。
观察流量基线与异常连接
了解网络的正常通信模式是发现异常的前提。在稳定状态下记录常见协议比例、连接频率和数据量,建立基础参考。
- 使用“Statistics > Protocol Hierarchy”查看各协议占比,若突然出现大量ICMP或UDP洪流,可能是DoS攻击征兆
- 检查“Statistics > Conversations”中主机间通信频次,某IP频繁与多个目标建立短时连接,可能为端口扫描行为
- 关注非标准端口上的常见协议(如HTTP跑在8081以外的端口),可能暗示隐蔽通道或恶意服务
使用显示过滤器定位可疑行为
Wireshark的强大之处在于灵活的过滤语法,能快速聚焦高风险流量。
- tcp.flags.syn==1 and tcp.flags.ack==0:筛选出所有SYN请求,若某源IP发出大量未完成三次握手的SYN包,可能是SYN Flood攻击
- icmp.type==8:捕获ICMP Echo请求,结合长度和频率判断是否用于隧道传输或探测
- http.request.method=="POST" && http.host contains "malicious.com":检测指向已知恶意域名的数据提交
- dns.qry.name matches "(\\w+\\.){3,}":匹配超长子域名查询,常出现在DNS隧道或C2通信中
分析TCP流追踪会话内容
对可疑连接进行深度解析,还原应用层交互过程。
- 右键数据包选择“Follow > TCP Stream”,查看完整会话内容,可发现明文传输的敏感信息(如密码)
- 注意Base64编码的大段负载,可能隐藏恶意脚本或回连指令
- 观察HTTP头部中的User-Agent是否异常(如包含“sqlmap”、“nmap”等工具特征)
- 检查TLS握手阶段的SNI字段,是否访问非常见加密站点,可能为C2通信
导出对象与提取载荷
某些攻击会携带可执行文件或配置信息,可通过载荷提取进一步分析。
- “File > Export Objects”中查看HTTP、FTP等协议传输的文件,保存可疑附件供沙箱检测
- 对未知UDP流尝试按ASCII/Hex查看有效载荷,识别自定义协议结构
- 结合tshark命令行批量提取特定条件下的数据流,便于自动化筛查
基本上就这些。持续监控并定期比对历史抓包结果,配合防火墙日志和IDS告警,能显著提升威胁发现能力。关键是把被动抓包转化为主动排查,形成响应闭环。不复杂但容易忽略细节。
