分享一个Wireshark进阶技巧！（非常详细）从零基础入门到精通，收藏这篇就够了！

各位身经百战的蓝军战士、救火队员们，是不是常常被安全设备的告警信息折磨得死去活来？流量告警，就像狼来了的故事，真真假假，让人头大。服务器挖矿？红队大佬“光顾”？还是那祖传的垃圾代码在作妖？别慌！今天咱们就来聊聊，如何用Wireshark这把瑞士军刀，从看似平静的流量中，挖掘出恶意软件感染事件的真相。别再做无头苍蝇，跟着我，让可疑流量无所遁形！

Wireshark：网络世界的“X光机”？简直是“显微镜”！

Wireshark是啥？别跟我说是抓包工具！它更像一台网络世界的“显微镜”，能让你看清楚每一个数据包的“基因序列”。网络故障分析？安全事件溯源？那都是基本操作。关键是，它能让你在茫茫数据海洋中，找到那根最扎眼的“针”。

安装Wireshark？别告诉我你还在Next！Next！Next！

Wireshark的安装，我就不多说了，官网（https://www.wireshark.org/）下载，一路Next。但！是！Win10用户注意了，抓包不显示网卡？那是因为你少了win10pcap这个“灵魂伴侣”（https://www.win10pcap.org/download/）。别偷懒，装上它，世界就清净了。

Wireshark实战：告警流量分析？不如说是“犯罪现场还原”！

现在，我们拿到了一份可疑流量的抓包文件。服务器建立了稳定通信？这可不是什么好兆头！

我的排查思路是这样的（别嫌我啰嗦）：

1. DNS流量“验血”： 从DNS查询特征入手，判断告警真假，初步定性事件。
2. HTTP通讯“透视”： 分析HTTP/TLS流量，还原事件的“作案”过程。
3. 威胁情报“背书”： 借助威胁情报平台，为猜想提供“呈堂证供”。
4. HTTP流“解剖”： 深入分析HTTP流，还原事件的每一个细节。
5. 报告？不存在的，直接上干货！

一、DNS流量：恶意软件的“体检报告”？

在Wireshark的过滤器里敲入“dns”，让所有DNS流量现形！

看，发现了什么？

1. 主机（10.10.23.101）居然在查api.ip.sb？
2. DNS解析服务器（10.10.23.1）还用多个IP响应它，其中一个还是Cloudflare的？

这绝对是“猫腻”！api.ip.sb这种IP检查服务，恶意软件最喜欢了，它们会在连接C2服务器之前，先确认自己是不是在沙箱里“裸奔”。

二、HTTP通讯：数据泄露的“高速公路”？

别犹豫，过滤器里输入“http || tls”，让HTTP/TLS流量无处遁形！

（HTTP/X...是HTTP/XML，别纠结）

发现了什么？

1. 受感染主机（10.10.23.101）疯狂地向服务器（188.190.10.10）发送HTTP POST请求？
2. HTTP/XML？结构化数据泄露的“标配”！有效负载还在不断增加？数据正在一点点被“榨干”！
3. 服务器还回复“200 OK”？确认数据传输成功？简直是明目张胆！

三、C2通讯：幕后黑手的“指挥部”？

深入研究TLS流量，你会发现更多“惊喜”：

1. 与Cloudflare服务器的TLS握手？还是api.ip.sb？再次印证了恶意软件“沙箱逃逸”的企图。
2. 频繁向188.190.10.10（C2服务器？）发出POST请求？
3. 间歇性的“100 Continue”消息？服务器在暗示需要更多数据？
4. 数据有效载荷逐渐增加？数据泄露正在进行时！

188.190.10.10是不是C2服务器？别猜了，直接上证据！微步在线、VirusTotal，都是你的好帮手。

VirusTotal链接：https://www.virustotal.com/gui/home/upload

恶意标记？实锤了！这就是C2服务器！

四、HTTP流：真相的“最后一块拼图”？

为了彻底搞清楚发生了什么，我们在Wireshark中过滤POST请求，并跟踪HTTP流。

过滤器：http.request.method=="POST"

真相大白！

• 服务器感染恶意软件，正在进行数据泄露！
• 受感染系统（10.10.23.101）正在向C2服务器（188.190.10.10）发送被盗数据！
• 恶意软件使用XML over HTTP？这是一种常见的“秘密通道”！
• 恶意软件在窃取数据之前，还会检查系统的公网IP？“沙箱逃逸”的惯用伎俩！

总结：流量分析？不如说是“破案”！

通过以上几步，我们成功地还原了整个事件的“犯罪现场”。恶意流量分析，就像侦探破案，需要细致的观察、敏锐的判断和专业的工具。

如何预防？

• 限制对公网IP检查服务的访问！
• 阻止未经授权的外部请求！
• 加强网络监控，及时发现异常流量！

记住，安全不是一蹴而就的，需要我们不断学习、不断进步，才能更好地保护我们的网络安全。
```

黑客/网络安全学习包

资料目录

1. 成长路线图&学习规划

2. 配套视频教程

3. SRC&黑客文籍

4. 护网行动资料

5. 黑客必读书单

6. 面试题合集

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

1.成长路线图&学习规划

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

2.视频教程

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*************************************

3.SRC&黑客文籍

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！

4.护网行动资料

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

5.黑客必读书单

**

**

6.面试题合集

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

更多内容为防止和谐，可以扫描获取~

因篇幅有限，仅展示部分资料，需要点击下方链接即可前往获取

*************************************CSDN大礼包：《黑客&网络安全入门&进阶学习资源包》免费分享*********************************